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Prefácio 


/ 

Olá! E com grande satisfação que apresento mais esse curso de 
computação feito pelo canal Fábrica de Noobs. Nesta apostila, abordaremos 
um tema de extrema importância no mundo atual, principalmente na área 
policial: a computação forense. 

A computação forense pode ser definida pelo conjunto de práticas 
adotadas para a preservação, coleta, validação, identificação, análise, 
interpretação, documentação e apresentação de evidências digitais que 
possuam validade em juízo. 

Tais evidências podem ser úteis para o levantamento de provas a 
respeito da ocorrência ou não de crimes virtuais, e devem ser analisadas de 
acordo com procedimentos que impeçam a sua deterioração. A computação 
forense é útil na solução de crimes como invasões, fraudes financeiras, 
pornografia ilegal, quebra de direitos autorais, spam, cyberbulling, entre 
outros. 

Este curso tem por objetivo apresentar de forma simples, informal e 
acessível os princípios da computação forense através de experiências 
práticas com programas do ramo. Não visa a formação profissional, mas sim 
a introdução de pessoas iniciantes e interessadas no ramo. 

Todos os programas apresentados são relacionados a seus respectivos 
links de download e estão disponíveis em versão grátis (completa ou demo). 
Eles também podem ser encontrados na biblioteca do MEGA 
(https://mega.nz#F!fQcV2IqR!e8iOoBMpVmitVq4ocaiL4A) e no pack que 
acompanha esta apostila. 

Para melhor entendimento do curso, recomendo dispor de alguns 
materiais para serem usados como “cobaias” por você para testar as 
ferramentas apresentadas nele. Principalmente unidades de memória, como 
HD’s e cartões de memória. Caso esteja animado o bastante, vasculhar um 
lixo de uma loja de informática pode dar bons resultados. 

Também é interessante (mas não obrigatório) possuir os cabos e 
conversores para a análise desses materiais. Um conjunto de cabos USB e 
um kit de conversão IDE/SATA deverá ser suficiente. 




Dispondo ou não dos materiais adequados, é fundamental que você 
procure se aprofundar por conta nos tópicos apresentados, explorar outras 
ferramentas e testar recursos novos daquelas já apresentadas. 

Espero que esse curso lhe traga uma experiência positiva e sirva para 
adquirir novos conhecimentos. Confira também as vídeo-aulas a serem 
gravadas no canal, e sinta-se livre para sugerir novos conteúdos. 




I. Introdução à Computação Forense 


Passos Básicos 


Identificação 

Preservação 


1. Ocorrência do crime 

2. Identificação da cena do crime 

3. Autorização da investigação 

4. Busca por evidências 

5. Apreensão 


6. Transporte 

7. Cópias 

Extração - 8. Certificação de autenticidade 

9. Cadeia de custódia 

10. Armazenamento 


Interpretação { 11. Análise 


Documentação ■{ 12. Relatório 
Apresentação -[ 13. Tribunal 


O processo de investigação forense começa com a ocorrência de um 
crime e a constatação da existência de evidências digitais, como discos 
rígidos, computadores, unidades USB, celulares, entre outros. 

Uma vez autorizado, deve-se inicia-lo a partir da busca e da apreensão 
de tais evidências, seguida pela produção de cópias das mesmas e 
autenticação, visando garantir a originalidade de tais cópias em relação à 
evidência original. 

Após tais procedimentos, inicia-se a investigação em si, na qual as 
evidências devem ser analisadas utilizando uma gama de programas do 
gênero. Todas as descobertas feitas nessa fase devem ser registradas em um 
relatório, que será posteriormente apresentado em julgamento. 

Evidência Preparação 



1. Consultar legislação 
vigente 




O processo de investigação envolve não só a análise das evidências, 
mas também a montagem de um ambiente de trabalho equipado com os 
recursos de software (programas de computação forense) e hardware (cabos 
e adaptadores) necessários para o caso. 

Também é preciso definir se a investigação será feita individualmente 
ou em equipe, e a mesma deverá estar em conformidade com a legislação 
vigente. 

Uma evidência deverá, obrigatoriamente, apresentar as seguintes 
características: 


■ Admissível: deverá reunir condições de ser apresentadas em um 
tribunal; 

■ Completa: não é suficiente coletar evidência que fornece 
apenas uma perspectiva do fato; 

■ Autêntica: evidências autênticas são aquelas que apresentam 
nexo de causalidade com o fato investigado de forma relevante; 

■ Confiável: os procedimentos de coleta e análise não devem 
causar dúvidas de sua autenticidade e veracidade; 

■ Acreditável: a evidência deve ser clara, fácil de entender e que 
faça com que um júri acredite nela. 


Exemplos 

■ Computadores 

■ Dispositivos de 
Armazenamento 

■ Câmeras digitais 

■ Secretárias 
eletrônicas 

■ Dispositivos 
portáteis 

■ Scanners 

■ Relógios digitais 

■ Fax/Impressoras 

■ GPS 

■ Gravadores de CD 


Definição 



Tipos 

■ Volátil 

■ Não volátil 

■ Frágil 

■ Temporário 

■ Backup 

Processo 


1. Acesso 

2. Aquisição 

3. Preservação 

4. Análise 

5. Documentação 


Por definição, evidência digital é uma informação de valor probatório 
armazenada ou transmitida em formato digital e que pode ser utilizada em 
um processo judicial. Ela pode estar presente em quase todos os tipos de 
dispositivos eletrônicos, como mostra o diagrama acima; 






Além disso, podemos classificá-las principalmente em função de sua 
volatilidade: quanto mais volátil uma evidência, maior a possibilidade de ser 
perdida ou alterada durante a investigação. Cache e memórias de curto prazo 
entram nessa categoria. Já discos rígidos e CD’s são considerados evidências 
não-voláteis. 



II. Manipulação de Evidências 

Uma vez em posse da evidência, é necessário iniciar sua análise. Em 
uma investigação real, jamais deve-se realizar procedimentos na evidência 
original, mas sim em uma cópia bit-a-bit da mesma. Porém, antes de entender 
o procedimento de cópia, será necessário entender a autenticação das 
mesmas. 

Vale ressaltar que o processo citado abaixo é absolutamente 
desnecessário em uma situação informal, como uma tentativa de recuperar 
arquivos deletados acidentalmente de um disco rígido. 

É possível se certificar de que um arquivo é uma cópia exata de outro 
através da comparação de hash. Uma hash é uma sequência de caracteres que 
corresponde ao produto da inserção do arquivo sobre um algoritmo. Dessa 
forma, se apenas um bit for alterado do arquivo original, a hash resultante 
será diferente. 


Caso queira estudar mais sobre funções hash, recomendo assistir ao 
seguinte vídeo https://www.youtube.com/watch?v=ZTJEWeWRUkc . 

Podemos comparar hashes de arquivos utilizando o QuickHash- 
Windows-v2.6.9.2, que pode ser baixado de forma gratuita em 
https://sourcef orge.net/proi ects/quickhash/?source=typ redirect. 


A hash de um arquivo pode ser obtida na aba File. Basta escolher o 
algoritmo desejado e observar sua hash correspondente. 

Text File | FileS ] Copy ] Compare Two Files ] Compare Directories | Disks 


Hash Algorithm 

íT MD5 
r SHA-1 
r SHA2.56 
r SHA512 


Single File Hashing 


Select File Complete. 


[or "drag and drop" a file here) 


Started at : 24/09/16 14:32:36 
Time taken : 00:00:00 


| C:\Users\Natanael\Desktop\A Cyberpunk Manifesto.docx 


AB E 69 AD 52 1 D C20E46261OD D E C F6C B2fí 1 


Expected Hash Value (paste from other utilrtyj 


RECOMPUTED NEW HASH VALUE. 

















É possível também obter a hash de todos os arquivos presentes em um 
diretório utilizando a aba FileS, com funcionamento de forma semelhante. 


| C:\Us ers\ N ata n □ el\Deskto p\Arq u i vos 



File Name 

Path 

Hash Value 

File Size [on Disk] 

1 

Redes da Deep Web - Freenet.pdf 

G:\U s ers\N ata n a el\ D es kto p\Arq u ivos\ 

2E2B 5ED23A3Ü25641 A5SC339964B 1 A44 

359316 bytes [3 51 r 33 KiB) 

2 

Redes da Deep Web - Galet.pdf 

C:\Users\N ata n a el\D eskto p\Ârq u ivos\ 

6S4B 6606AD D C4E C B0C 6EA3 1 F2B96EÜE3 

304059 bytes [296 r 93 KiB) 

3 

Redes da Deep Web - Globaleaks.pdf 

C:\Us ers\N ata n a el\D es kto p\Àrq u ivos\ 

53B13D6C F2960SF3 99F96124EC7D4S79 

742402 bytes [725 KiB) 

4 

Redes da Deep Web - Hyperboria.pdf 

C:\Us ers\N ata n a el\ D es kto p\Arq u ivos\ 

C 622160E43 62 ED9S7B AÜ12ADF3F1044E 

131429 bytes [177,13 KiB) 

5 

Redes da Deep Web - l2P.pdf 

C:\U s ers\ N ata n a el\ D es kto p\Arq u ivos\ 

05912611AS2FÜ2D BAAESEÜDÜ3 528FFAB 

37352 bytes [35,79 KiB) 

6 

Redes da Deep Web - Onion.pdf 

C:\U s ers\ N ata n a ePVD es kto p\Arq u ivosV 

C D 651531C0014F726D F6C1 Al 760D451D 

332974 bytes [325,17 KiB) 

7 

Redes da Deep Web - Perfect Dark.pdf 

C:\U s ers\N ata n a el\ D es kto p\Arq u ivos\ 

FE3937C623 C F230G72D95369 BS5647S3 

493206 bytes [431,65 KiB) 

s 

Redes da Deep Web - StealthNet.pdf 

C:\U s ers\N ata n a el\ D es kto p\Arq u ivos\ 

1 AC 676F1D 63973 C307FBF3 6SE5F3AA4C 

346756 bytes [333,63 KiB) 


Essa ferramenta pode ser útil para encontrar um arquivo diferente dos 
demais em um diretório repleto de arquivos aparentemente iguais, como no 
exemplo abaixo. 


Nome 


A 

Data de modificaç... Tipo 


Tamanho 


ü 


A Cyberpunk Manifesto - Copia (2) 
A Cyberpunk Manifesto - Copia (3) 
A Cyberpunk Manifesto - Copia (4) 
A Cyberpunk Manifesto - Copia [5] 
A Cyberpunk Manifesto - Copia (6) 
A Cyberpunk Manifesto - Copia (S) 
A Cyberpunk Manifesto - Copia [9] 


24/09/2016 14:32 
24/09/201614:32 
24/09/2016 14:32 
24/09/2016 14:32 
24/09/2016 14:32 
24/09/2016 14:32 
24/09/2016 14:32 


Documento do Mi 
Documento do Mi 
Documento do Mi 
Documento do Mi 
Documento do Mi 
Documento do Mi 
Documento do Mi 


16 KB 
16 KB 
16 KB 
16 KB 
16 KB 
16 KB 
16 KB 


O programa conseguiu facilmente reconhecer o arquivo modificado 
com base no valor de sua hash. 


C:VU s ers\ N ata n a el\D es kto p\C ó p i a s 



File Name 

Path 

Hash Value 

39 

A Cyberpunk Manifesto - Copia [D-docx 

C:\U s ers\N ata n a el\D es kto p\C ó p i a s\ 

2635715707732F1933S1EFACCE9D D0SE33722Í 

29 

A Cyberpunk Manifesto - Copia [36).docx 

C:\U s ers\N ata n a el\ D es kto p\C ó p i a s\ 

F35D055A53F B C B 669019 B ESC2FB03 FC E 66A3 i 

23 

A Cyberpunk Manifesto - Copia [35).docx 

C AU s ers\N ata n a el\D es kto pVCópia s\ 

F35D055A53F B C B 669019 B E3C2 F B03 F C E 66A3 i 


A aba Compare Two Files permite comparar arquivos e verificar se 
eles são exatamente os mesmos através de sua hash. Observe a seguir dois 
resultados diferentes. 














































-Choosetwo files and click 'Compare Files' 


Select File A 


Select File E 


^ompare Files | 


C:\U 5 er 5 \Natanael\De 5 kt 0 p\A Cyberpunk Manifesto.docx 
FS5D05 5A5SF E C B 669019 B ESC2 F B03 F C E 66A3 3 F7E 

C:\Users\Natanael\Desktop\C0pias\ACyberpunkManifesto - Copia l[9).docx 
FS5D05 5A5SF B C B 669019 B ESC2 F B03 F C E 66A3 3 F7E 
Result: MATCM! 


Choosetwo files and click 'Compare Files' 

Select File A | C:\Users\Natanael\Desktop\A Cyberpunk Manifesto.docx 

FS5 D05 5A5SF B C B 66301 9BESC2FB03FCE66A33F7E 

Select File B | C:\Users\Natanael\Desktop\C0pias\A Cyberpunk Manifesto - Copia [7]. docx 
2635715707732 F193 331EFACCE9DDOSES3722662 
| ComparcF.!^ | Resu|t; MIS-MATCH! 


Temos ainda a opção Compare Directories, que pode ser usada para 
comparar dois diretórios entre si e procurar por diferenças de hash ou número 
de arquivos. 


5 tatus: 

There is a hash mis-mateh between thetwo directories. 


File Path and Name [Dir A) 

HashValue ^ 


39 

C:\Users\Natainrael\Desktop\C0pias\A Cyberpunk Manifesto - Copia (7).docx 

2635715707732F193331EFÂCCE9DDÜ3E33722662 

29 

C:\Us ers\Natanael\Desktop\Cópias\A Cyberpunk Manifesto - Copia [36).docx 

F35 D055A5SFBCB 669019 B E3C2FB03FC E66A3 3 F7E 

23 

■C:\Users\Matanael\Desktop\C0pias\A Cyberpunk Manifesto - Copia [35).docx 

F 35 D05 5A53F B C B 669019 B ESC2 F B03 F C E 66A3 3 F7E 

32 

C:\Users\Natanael\Desktop\C0pias\ACyberpunkManifesto - Copia (39).docx 

F 35 D05 5A5SF B C B 669019 B E 3C2 F B03 F C E 66A3 3 F7E 

31 

C:\Users\Natanael\Desktop\C0piasYACyberpunkManifesto - Copia [33). docx 

F35 D055A53FBCB 669019 B E3C2F B03 F C E 66A3 3 F7E 






File Path and Name [Dir B) 

HashValue 'f' 


39 

C:\Users\Natanael\Desktop\C0pias 2\A Cyberpunk Manifesto - Copia (7).docx 

2635715707732F193 331E FAC C E9 D DOSES3722 662 

14 

C:\Users\Natanael\Desktop\C0pias2\ACyberpunkManifesto - Copia [22).docx 

65C2043A5 F369FE779793 D61OBD5B3 FC0561 1 721 

23 

C:\Users\Natanaer\Desktop\Cópias 2 ,, ^A Cyberpunk Manifesto - Copia [35).docx 

F 35 D05 5A5SF B C B 669019 B ESC2F B03 F C E 66A3 3 F7E 

29 

C:\Users\Natanael\Desktop\C0pias2\ACyberpunkManifesto - Copia [3 6). docx 

F 35 D055A5SFBCB 669019 B E3C2 F B03 F C E 66A3 3 F7E 




1 



Caso queiramos obter a hash de um conjunto de arquivos, seja ele uma 
pasta, diretório ou unidade inteira, podemos fazê-lo utilizando o AccessData 
FTK Imager, que pode ser baixado gratituiamente em 
http://accessdata.com/product-download/digital-forensics/ftk-imager- 

version-3.4.2. 













































F1 AccessData FTK Imager 3.4,2.6 
File View Mo de Help 


íâ íst % ss 

i a i wn mm 

10 ^ □ li H 


TEKT HE 

Evidence Tree 

X 

File List 

E-ÊÜ \\ 

Name 


É t? NONAME [FAT32] 
É"â [root] 


Gl [unallocaited space] 


De posse do programa, podemos inserir evidências (que podem ser 
pastas, discos físicos ou partições lógicas) e obter suas hashes através da 
função Verify Drive/Image. 


tvmence i ree 


És] Re™ve Evidence Item 
3 1 Verify Drive/Image... 
y Exfiort Disk Image... 

% Innage Mouriting... 

H) Export Directory Listing... 


O processo pode demorar para 
respectivas hashes ao final do processo. 

□ 

Na me 

Sector count 
El MD5 Hash 
Compute d hash 

□ SHA1 Hash 
Computed hash 

□ Bad Sector List 
Ba d sector(s) 


unidades maiores, e retoma suas 

I:\ 

16445408 

58397 29 e c2 074 bf2 d 0 c2317 044 cb7 d e 2 
4bl420ac60f25b9209a8bl24011902baba9 
No bad sectors found 


O mesmo programa também pode ser usado para realizar cópias bit-a- 

/ 

bit de unidades. E importante relevar que uma cópia bit-a-bit difere de uma 
cópia comum no quesito de dados copiados: a segunda opção irá copiar 
apenas os arquivos visíveis e manipuláveis, enquanto que a primeira copiará 
todos os bits do volume. 

Podemos fazer isso utilizando a opção Create Disk Image e inserindo 
a unidade desejada. Por questões de compatibilidade com outras ferramentas 
(o Autopsy é realmente fresco nesse sentido), recomendo utilizar o formato 
E01 e não fragmentar a imagem, conforme o exemplo. 

















Select Image Destination 


X 


Image Desíination Folder 

|C:\Usere\Natanael\Desktop Bnowse 


Image Filename (Excluding Edension] 


|imagemfinal 


Image Fragment Size (MB) 
For Raw, EQ1 . and AFFformats: ü = do not fragment 

Compression (0=None, 1=Fastesí . 3=Smallest) 



Use AD Encryption I - 


=: Voltar Finish Cancel Help 


O processo também tende a demorar, e ao final deve gerar uma cópia 
exata dos bits presentes na unidade original. Lembre-se de comparar as 
hashes com futuras cópias da evidência. 



Após a criação da imagem, são gerados dois arquivos: a imagem em 
si e um log, contendo informações valiosas sobre sua procediência. É 
importante que os dois sejam guardados no sistema. 



























□ > 

Nova pa:ta 




ido 

A 

Nome 

Data de modificaç... 

Tipo 

Tamanho 

rab: 


imagemfinal 

30/09/201623:15 

Arquivo E01 

8.225.723 KB 

is y 


imagemfinal.EÜI 

,30/09/2016 23:17 

Documento de Te... 

2 KB 


\fn r r 


Caso desejarmos explorar o conteúdo de uma imagem, podemos 
montá-la como uma mídia removível através de programas como o 
OSFMount, que pode ser baixado em 

http://www.osforensics.com/tools/mount-disk-images.html . A montagem é 
intuitiva e a unidade montada apresentará a mesma aparência da unidade 
original. 

i PassMark OSFMount 
File Drive actions Help 

Mounted virtual disks 

Drive Image file name Size Properties 

GJH: C:\Users\Natanael\Desktop\Nova pasta\imagemfinal.E01 7.042 GB Read-only 

Ainda porém, em uma situação na qual seja necessário o uso direto da 
unidade USB, podemos nos certificar que nenhum byte seja alterado através 
do USB Write Blocker for ALL Windows 
(https://sourceforge.net/proiects/usbwriteblockerforwindows8/) . O 

programa realiza algumas mudanças no registro que impedem o computador 
de realizar qualquer alteração em qualquer unidade USB, garantindo a 
integridade da evidência. 

E3B G\Wi n d o ws\ system 32\c m d. exe 


The USB Write Blocker is - ON 

USB Write Blocker for ALL Windows by Securite Multi-Secteurs - Version 1.3 

Start the write blocker before connecting the USB Flash Drive and do not 
change the settings when a USB Flash Drive is connected. 

If you have any questions send an email to - support@securitemulti-secteurs.ca 

1. Enable the USB Write Blocker - ON 

2. Disable the USB Write Blocker - OFF 

3. Exit 


'ype the number and press Enter: 











Quando a manipulação da evidência terminar, lembre-se de retirar a 
unidade USB e só então rativar a permissão para realizar mudanças. Lembre- 
se também de ler o manual do desenvolvedor, pois contém informações 
importantes. 

Outro programa que permite tal análise é o OSForensics, que apesar 
de pago, possui uma demo disponível para download em 
http://www.osforensics.com/download.html . 

A sua categoria Hashing &File Identification permite realizar as 
operações de documentação de evidências na forma de hash. 


Hashing & File Identification 



New Hash New Hash Set 
Database 



Create Hash Create Signature 


-4 

Compare 

Signature 


A primeira e segunda ferramentas nos permitem montar um índice 
com todas as hashes presentes em um diretório. 

Hash Set Viewer 

Hash SetName: asd [ asd | English 
Hash SetType: asd 
Operating Systems: asdsad 


Name 

MD 5 

SHA1 

SHA256 

Last Update 

Size 

3. PDF 

3FS1CD664C6SA. .. 

3FAB19BA6E... 

EE2C35D6B0. .. 

2017-01-30 2,,. 

214.3 KB 

481310874. JPG 

DFBF2S37B731A... 

022BDAD4D9. ,. 

4D1FF179CF. .. 

2017-01-30 2,, . 

113.7KB 

513273-B43CAE 5 A-Q A7A-11E4-BS 32 ,,, 

BDS93DS4E6272. ,, 

E6BBFS22Q0S. .. 

DA38D8F0F5... 

2017-01-30 2,,. 

30,57 KB 

576Q.JPG 

993353F20E0A1. .. 

970CE11AA6... 

BC93EF32DE... 

2017-01-30 2... 

99.26 KB 

@S_1. JPG 

B66E13E5 A9F54. .. 

275E30929F. .. 

1F2B31AAD3. .. 

2017-01-30 2... 

42.93 KB 


Já a terceira retorna o valor em hash de um único arquivo, da mesma 
forma que já fizemos anteriormente. 

A quarta permite criarmos uma assinatura de um diretório ou disco 
inteiro. Caso façamos o processo em dois momentos diferentes, podemos 
compará-los a fim de procurar por eventuais mudanças, utilizando a quinta 
ferramenta. 



Compare Signature 


Old Signature C:\Users\Natanael\Desktop\momento 1 .GSFsig 


New Signature | C:\Users\N atanael\Desktop\momento 2.QSFsig 
I I Ignore device name 


Name 


Difference Create Modify Size Attributes Hash 

A 


C:\Users\Natanael\Desktop\Diretório Teste... New 


30/01 /2017, 23:48 27/01 /2017, 23:14 1.11 KB 














Neste processo, todos os arquivos adicionados, alterados ou 
removidos serão exibidos. 



III. Busca de Diretórios 


Durante uma investigação, é comum nos depararmos com uma 
unidade repleta de diretórios para serem analisados, nos quais é preciso 
buscar apenas por determinados arquivos. Por exemplo, imagine que temos 
um HD suspeito de armazenar pornografia infantil e precisamos localizar 
apenas os arquivos de mídia (imagem e vídeo) para posteriormente 
classificá-los em provas do crime ou arquivos comuns. 

Sem o uso de ferramentas adequadas, essa tarefa pode se tomar árdua 
- ainda mais considerando a existência de várias pastas e diretórios. 


O WinDirStat é uma ferramenta grátis 
(https://sourceforge.net/proiects/windirstat/) que nos dá uma representação 
gráfica dos arquivos que mais ocupam espaço num diretório e pode ser 
extremamente útil para busca de arquivos suspeitos. 


#=:- WinDirStat - O X 

File Edit Clean Up Treemap Report Options Help 


0$ 8 | ► Steiãj m o|«r x |o|* f 

< Name 

Subtree Percent... Perce... 

Size 

Items F 

íles Subdirs Last Change Attri 

I Extensi... Col... Description 

> Bytes % I * 

— Hacking (R) 

[0:02 s] 

30,0 GB 

4.089 3. 

364 725 30/09/2016 20:59:25 

0 .iso C3 Arquivo de Imagem do Disco 2*56B 78 

E | ] SRECYCLE.BIN 

1,0% 

317,4 MB 

10 

8 2 29/09/2016 16:06:35 HS 

im .exe |J Aplicativo 

1,6 GB 5 

E Q Hacking 

99,0% 

29,7 GB 

4.076 3. 

0 

356 720 30/09/2016 20:59:25 

0 .msi f 3 Pacote do Windows Installer 

.pdf |_3 Adobe Acrobat Document 

900,1 MB 2 
758,6 MB 2 






Q .img Arquivo IMG 

□ .daa CJ Arquivo DAA 

752,8 MB 2 
691,6 MB 2 






§ .rar £ J Arquivo do WinRAR 
@ .w... CJ Arquivo WMV 
§ ,zip g * Arquivo ZIP do WinRAR 

D .mea Ca Arquivo MCA 
[&| .jar kj Executable Jar File 

642.5 MB 2 

303,0 MB 1 

286,2 MB 0 

269.5 MB 0 

160,7 MB 0 v 

l< > 1 

l< 





O gráfico na parte inferior mostra sua distribuição, na qual cada cor é 
relacionada com uma extensão de arquivo exibido no canto superior 
esquerdo. 


Extensi... 

Col... Description 

> Bytes % E 

1 .iso 

j Arquivo de Imagem do Disco 

Z3,5 GB 78 


53 .exe Aplicativo 1 r 6 GB 5 

.msi Pacote do Windows Instai ler 9Ü0,1 MB Z 

T- . pclf J Adobe Ácrobat Document 758,6 MB Z 

Q .img Arquivo IMG 75Z,8MB Z 

□ ,daa 1 1 Arquivo DAA 691,6 MB Z 

Z 
1 
0 
0 
0 


Arquivo do WinRAR 64Z,5 MB 

Arquivo WMV 303,0 MB 

Arq u i vo Zl P d o Wi n RAR Z86,Z M B 

Arquivo MCA Z69,5 MB 

Executable Jar File 160,7 MB 



















Clicando em um deles, somos imediatamente direcionados para a 
lolização do arquivo em questão. 


aesKTop.im 


U,U7b 

iw tsyres 



U tLf i uy zu 

□ ^ Microsoft Office 


74,4% 

5,6 GB 

14 

13 

1 1 B/05/20' 

- | <Files> 


■ 100,0% 

5,6 GB 

7 

7 

0 14/12/20' 


desktop.ini 


■ 0,0% 

101 Bytes 



29/09/20' 


Microsoft Office 2010 Profissional Português-br x6... 

1 

12,6% 

719,5 MB 



10/11/20' 


Microsoft Office 2010 Profissional Português-br kA... 

1 

11,3% 

642,0 MB 



10/11/20' 


Off i c eP rof essi o n a 1P1 us x&4 pt- b r. d a a 


12,2% 

691,6 MB 



06/10/20' 


1 Offi r fP rnfpssi n n a 1P 1 11 s x64 nt-hr.inrm 

■ 

1 3 7% 

75? AMR 



03/10/20' 


Outra forma interessante de listar arquivos é com os comandos tree e 
dir no Prompt de Comando do Windows. O primeiro exibe todos os arquivos 
presentes em um diretório na forma de árvore, onde podemos ver claramente 
a organização de pastas. 


C:\>F: 

F:\>tree 

Listagem de caminhos de pasta para o volume Hacking 

0 número de série do volume é 00000043 4009:6980 

* -Hacking 

I-Biblioteca 

I -Biblioteca Hacking 

I-Computer Power User - Ano 2014 

-Conteúdo Genérico 

-Engenharia Social 

-Forense 

-Forense digital toolkit 

-Google Hacking 

- Kali Linux 

-Linguagem Batch 

-Linguagem C 

é -Linguagem C para Hackers Iniciantes Marco A T 

-Phyton 

-Redes 

1 -Apostila de Redes 

-Senhas 

-SQL Injection 

-Visual Basic 

-Vírus 

-Web Hacking 

' -Wireless Hacking 

8 -Curso Wireless Hacking 

-Criptomoedas 

1 -Arquivos Batch 

-Backups 

-Mineradores 

I -ccminer-1. 7 .5-blake2s-32-bit 


Já o último exibe todas as pastas de um diretório de uma forma um 
pouco mais compacta. 























F:\>cd Flacking 


F:\Hacking>dir 

O 1 volume na unidade F e Hacking 
O Número de Série do Volume é 4009-6980 


Pasta de F:\Hacking 


11/09/2016 

22:08 

<DIR> 


11/09/2016 

22:08 

<dir> 


24/09/2016 

15:01 

<DIR> 

Biblioteca 

18/05/2016 

15:35 

<DIR> 

Criptomoedas 

24/09/2016 

15:01 

<DIR> 

Feitos 

21/09/2016 

15:26 

<DIR> 

Formatação 

28/09/2016 

20:31 


1.476 Prompt de Comando.lnk 

24/09/2016 

15:01 

<DIR> 

Páginas para Deface 

27/08/2016 

11:51 

<DIR> 

Páginas para Phishing 

24/09/2016 

15:01 

<dir> 

Scans 

20/09/2016 

14:19 

<DIR> 

Scripts e Tools 


1 arquivo(s) 1.476 bytes 

10 pasta(s) 49.912.459.264 bytes disponíveis 


F:\Kacking> 


Existem ainda mais duas ferramentas com funções semelhantes que 
podem ser utilizadas para exploração de diretórios. 

A primeira delas é o Total Commander (https://www.ghisler.com) , 
que permite buscarmos arquivos em diretórios conforme filtros de data, 
tamanho, atributos e tipos de arquivo. 

m Find Files 

General Advanced Plugins Load/Save 


Search for: 


Search in: C:\Usere\Natanael\Desktop\Fonense Pack 


1 1 RegEx Only search in selected dinectories.Tiles 

1 1 "Everything' § 0 Search archives (all excepí for UC2) 

Search in subdirectories: all (unlimited depth) 

v 

1 1 Find text: 



Basta configurarmos os filtros corretos e iniciar a busca para que os 
programas enquadrados neles sejam listados na tela. 

Search results: 

132 files and 3 directories found] 

[C :\Usere \Natanael\Desktop\Fonense PackVAocessory.Software . File .Vlewer.v3.2-LAXiTY.rar/Acce5SQiy .Software . FileViewer.v9,2-LAXiTY] 

[C :\Users\Natanael\Desktop\Forense PackXimageusb .zip/Help\HTM L] 

[C :\Usere \Natanael\Desktop\Fonense Pack\Nirs oftj 

C:\Users\Natanaer\Desktop\Forense PackVAccessData FTK Imager 3.4.2 %2fk64%23.exe 
C:\Users\Natanael\Desktop\Forense PadkVAcxessory.Software. File. VÍewer.v9.2-LAXiTY.rar 

C :\Users\Natanael\Desktop\Forense PackVAccessory.Software . File .V1ewer.v3.2-LAXiTY.rar/Accessory .Software . FileVÍewer.v3.2-LAXiTYVile_idl .c 
C :\Users\Natanael\Desktop\Forense PackVAccessory.Software . File .Vlewer.v3.2-LAXiTY.rar/Accessoiy .Software . FileVÍewer.v9.2-LAXiTY\FileVÍev 
C :\Users\Natanael\Desktop\Forense PackNAccessory.Software . File .Viewer.v9.2-LAXiTY.rar/Acce35Qiy .Software . FileVlewer.v3.2-LAXiTY v Jaxity .nf 
















O programa ainda nos fornece duas janelas de operação, o que permite 
uma busca mais rápida e funcional. 

y Total Commander (x64) 9.0B16 - NOT REGISTERED - □ 

Files Mark Commands Net Show Configuration Start 


e | §88 § b | es | * E 1 <* ■» | a m | ss 86 a & j | i 


_ i V> LnoneJ 8 204 908 k of 8.206.320 k free 


\ .. 


^1- 

■••i:\System Volume InformationV * 


* ▼ 



♦ Name 

Ext 

Size Date Attr 


□ [Área de Trabalho] 

lil-l 


<DIR> 29/09/2016 20:06 - 

B 

> ‘ [Bibliotecas] 

IndexerVol umeGui d 


76 29/09/2016 20:06 -a- 

v P [Este Computador] 




S 

_ [C ] Disco Local 




> _ [D:] Jogos 

> jfc[E:] Unidade de DVD-RW 

> _ [F:] Hacking 

_ [G:] Reservado pelo Sistema 

& 

& 




v — [1:] Disco removível 





■ [System Volume Information] 


Outra ferramenta interessante é o File Viewer 9.2, que apesar de ser 
um projeto descontinuado, pode ser encontrado no pack que acompanha este 
curso. 


Ele nos permite buscar arquivos conforme sua extensão, o que pode 
economizar uma quantidade considerável de trabalho braçal. 


J èí Find Files or File Types 


□ X 


JPEG and JPEG 2000 Files 
TIFF Foimats (TIF and TIFF) 

_ BMP Formats 
Icons and Cursors ; 

PCX Formats 
Kodak Formats (PCD) 

Microsoft Fax Formats 
Graphics Interchange Format (GIF) 
Windows MetaFíle Format (WMF, EMF) 
Fax File Format (FAX) 

© XPICMap (XPM) 

Microsoft HD Photo (WMP) 

Portable Bitmap Utilities (PBM) 

Dr. Halo (CUT) 

PhotoShop 3.0 Format (PSD) 
Truevision TARGET Format (TGA) 
Encapsulated PostScript Format (EPS) 
Portable Graphics Format (PNG) 


SUN Raster Format (RAS/SUN) 

Word Perfect Format (WPG) 

Macintosh Pict Format (PCT) 

Microsoft Windows Clipboard Format 
XWindow Dump File (XWD) 

Kodak Cineon Format (CIN) 

Windows Animated Cursor Format (ANI) 
Silicon Graphics Image Format (SGI) 
Wave Files (WAV) 

MIDI Files (RMI, MID) 

Audio/Video Format 
Music Files (WMA, MP3) 

Portable Bitmap (PPM, PXM, MTV, 

Any or all Picture Files 

Text Files (TXT, HTML, EML, etc.) 

Database Files (DBF, DB, MDB) 

Enter File Name or letters to Locate 


Start from the Begining of Disk 


OK 

Q) Cancd 


? Help 


Basta definir os critérios de busca e aguardar até que os arquivos 
desejados sejam exibidos na barra inferior. 
























Podemos ainda usar a Copiadora 666 
(https://sourceforge.net/proiects/copiadora-666/) para copiar arquivos de 
determinado tipo entre diretórios. 


0' que deseja fazer?7 

Qual diretorio deseja copiar (insira o diretorio completo)?F 
Para qual diretorio ou unidade (insira o diretorio completo)?C 
Deseja adicionar outros parâmetros? Se nao, deixe com um espaço. 

1 - Tudo 

2 - Imagens (png,jpg,jpeg.gif,ico,svg,bmp) 

3 - Videos (mp4 J aui J mku J umu J vma.mpg/mpeg^sf) 

4 - Musicas (mp3jWaVjflac,aac) 

5 - Textos (txt,docx,pdf,doc,doem) 

6 - Office (doCjdocx,docmjXlsXjXlsmjXltx,pptx,ppsx,potx,accdb,mdb ) 

6.1 - Word (doc,docXjdoem) 

6.2 - Excel (xlsxj.xlsmij.xltx) 

6.3 - Power Point (pptx,ppsx,potx) 

6.4 - Acess (accdb.mdb) 

7 - Web (htmlj htm,php,js,aspx,ess f cpp) 

8 - Design (psd t indd,pdf,svg t edr,ai,aep,aepx,ppj) 

9 - Sistema (dll,reg,jar) 

10 - Compactados (zip.rar) 

11 - Outro (inserir) 


O OSForensics também possui ferramentas interessantes neste 
quesito. A aba File Searching & Indexing nos permite realizar busca de 
arquivos dentro de um disco investigado. 


File Searching fíi Indexing 



File Name Search Mismatched Files Create Index Search within 
Search Files 
































































A primeira opção permite que essa busca seja realizada com base em 
filtros de tipo de arquivo, data, tamanho e outros atributos. Pode ser uma 
ferramenta extremamente útil quando procuramos por alguma prova que 
deve apresentar determinado formato (vídeos de pornografia ilegal, por 
exemplo). 


File Name Search Configuration 




Configuration 


Case Sensitive □ 

Search for Folders Names 0 
Search in Sub Folders 0 

Match Whole Word Only O 


Help 

File Size Limits: 

Min | | KB 

Max | | KB 


Presets 

Video Files 


Search 

Images 

Large Images (>2ÜKB) 

G ff ice Documents 




Config... 




Compressed Files 



1 931 



Audio Files 

Files w/ streams 

Files w/ large streams (>10KB) 
Hidden attribute set 

System attribute set 

Encrypted attribute set 

* 





File Attributes: 


Archive 

□ 

Read-only 

□ 

Compressed 

□ 

System 

□ 

Encrypted 

□ 

Reparse Point 

□ 

Hidden 

□ 

Sparse file 

□ 

Creation Date Range: 


Modify Date Range: 


From |0 30-jan-2017 

1^1 

From |0 30-ian-2017 

0- 

To |0 30-jan-2017 

0- 

To |0 30-jan-2017 

0- 


Access Date Range: 


From 

□ 

30- jan -2017 

0”' 

To 

□ 

30- jan -2017 



0 Gather alternate stream info (slow) 

Minimum number of alternate streams 

Minimum size of alternate streams KB 


Já a segunda tem uma aplicação interessante em busca de arquivos 
contendo esteganografia. Ela procura por arquivos que possuam um 
conteúdo diferente do que sua extensão representa. 


File List Thumbnails 

a foto.png 

Location: C:\Users\Natanael\Desktop\Fab rica de Noobs\Projetos em Andamento\3° Desafio Hacker - 2017\n6£gpoaBy 
Identified Type: PDF document, version 1.5 

Size: 146.8 KB r Created: 27/01/2017, 19:39, Modified: 25/11/2016, 12:08 


Para obter maiores informações sobre o assunto, consulte o capítulo 
VIII, que aborda a análise de esteganografia. 

As outras duas possuem ferramentas que permitem a catalogação e 
procura de arquivos com determinadas características na forma de índice. 







































IV. Análise de Arquivos 

Arquivos, além de serem provas de eventuais crimes, podem também 
ser fontes de informações valiosas. 

Aqui, o OSForensics também possui grande utilidade neste tipo de 
análise. 


A opção File Viewer nos permite obter informações sobre a data na 
qual um arquivo foi criado, acessado e modificado, além de detalhes sore 
seus atribuitos. 


File Viewer Hex/String Viewer Text Viewer File Infb Metadata 



File Type: 
Location: 
Short name: 
Size;: 

Size on disk: 
Created: 
Modified: 
Accessed: 


Docl.docx 

Documento do Microsoft Word 
C: ‘'iJLIser5\Natanael\Desktop\ 

DOCl-l.DOC 

1.6 MB (L720.817 bytes) 

1.6 MB {1.724.416 bytes) [Starting LCN: 126695] 
domingo, 25 de setembro de 2016, 22:12:59.3633778 
terça-feira, 27 de setembro de 2016, 21:41:27.1796634 
terça-feira, 27 de setembro de 2016, 21:41:27.1646555 


Attributes: 


Streams: 


0 Ardiive I iRead-Onlv Flags: 0 In Case I I Green Bookmark 

l~l Compressed 0 System 0 Viewed O Yellow Bookmark 

I I Hidden O Symbolic Link [■] In Hash Set O Red Bookmark 

:: :SDATA 1630.5 KB 


Podemos também usar a visão em hexadecimal para extrair partes de 
texto que podem ser relevantes em uma investigação forense, como 
caminhos de arquivos, nomes de programas utilizados e URL’s. 








File Viewer Hex/String Viewer Text Viewer File Infb Metadata 

Settinqs 


Enter filter text 

[Content_Types] .xml 

TxPaO 

_rels/.rels 

word/jels/document. xml. reis 

word/document. xml 

RJBSk 

6F6E 

*hDzC 

<@x8v 

word/media/image 1. png 
IDATx A 


Seardi... 


A 


ÜxOÜOOÜÜCG 
QxOOOOOODO 


OxOOOOOOEO 


OxOOOOOOFO 

0x00000100 

0x00000110 

0x00000120 

0x00000130 


0x00000140 


0x00000150 


OxOOOOOlÉO 

0x00000170 


00 OS 012345678 8ABCDE F 

0000000000000000 0000000000000000 ___ 

0000000000000000 0000000000000000 ________________ 

0000000000000000 0000000000000000 ________________ 

0000000000000000 0000000000000000 ___ 

0000000000000000 0000000000000000 __ 

0000000000000000 0000000000000000 . 

0000000000000000 0000000000000000 . 

0000000000000000 0000000000000000 ________________ 

0000000000000000 0000000000000000 ________________ 

0000000000000000 0000000000000000 ________________ 

0000000000000000 0000000000000000 __ 

0000000000000000 0000000000000000 ____ 


Caso não dispionha de um programa como o OSForensic, também é 
possível obter essas informações manualmente utilizando um editor 
hexadecimal como o Hex Workshop Hex Editor, disponível para download 

em http://www.hexworkshop.com . 

Ao abrir um arquivo com o programa, temos acesso ao seu código 
hexadecimal e também a um inspetor de valores, presente na coluna à 
esquerda. 


Data Inspector fl- T x 

Data at offset Ok00000000; 


int8 

-1 

uint8 

255 

intl 6 

-9985 

uintl6 

55551 

int32 

-5201036S1 

uint32 

3774863615 

int64 

5064878326892452095 

uint64 

506487832689245209 5 

float 

-1.4748612 e+020 

double 

4.1297701 e+030 

DATE 

<invalid> 

DOS date 

31/07/2088 

DOS time 

<invalid> 

FILETIME 

<invalid> 

time_t 

<invalid> 

time64_t 

<invalid> 

binary 

1111111111011000111111111110000... 


Essa parte em especial pode fornecer alguns detalhes importantes, 
como o header do arquivo. 





























O header é uma sequência de caracteres em hexadecimal que indica a 
extensão de determinado arquivo. Cada extensão (jpg, png, docx, etc) possui 
seu próprio header. No exemplo, ele está presente nos valores associados 
com o campo binary. 


I ttJ SB 'm ffí V iR m H W 1 



0 

1 

2 

3 

4 

5 

6 

7 

! 

00000000 

F 

D 8 

FF 

E0 

00 

10 

4A 

46 

4 

00000017 


50 

68 

6F 

74 

6F 

73 

68 

6 


Segue uma tabela com os headers dos principais tipos de arquivo 
encontrados. Note também que sempre é possível pesquisar pelo código em 
hexadecimal para descobrir sua correspondência. 


Filetype Start Start ASCII 

Tranalation 


ani 

52 

49 

46 

46 

BLFF 

au 

2E 

73 

ÊE 

64 

and 

bmp 

42 

4D 

FS 

A9 

BM 

bmp 

42 

4D 

62 

25 

BMpí 

bmp 

42 

4D 

76 

03 

BMv 

cab 

4D 

53 

43 

46 

MSCF 

dll 

4D 

5 A 

90 

00 

ME 

Excel 

Dü 

CF 

11 

EÜ 


exe 

4D 

5 A 

50 

00 

MEF (iniiQ) 

exe 

4D 

5A 

90 

00 

ME 

flv 

4 E 

4C 

56 

01 

FLV 

gif 

47 

49 

46 

3S 39 61 

GLFS 9a 

gif 

47 

49 

46 

3S 37 61 

GLFS7a 

gz 

LF 

SB 

OS 

OS 


íco 

00 

00 

01 

00 


jpeg 

FF 

D8 

FF 

El 


jpeg 

FF 

D8 

FF 

E0 

JFLF 

jpeg 

FF 

DS 

FF 

FE 

JFIF 

Linux bin 

7F 

45 

4€ 

46 

ELF 

png 

8 9 

50 

4E 

47 

PNG 

ma i 

DO 

CF 

11 

E0 


:mp3 

49 

44 

33 

2E 

LD3 

:mp3 

49 

44 

33 

03 

LD3 

ÜFT 

4F 

46 

54 

32 

OFT2 

PPT 

DO 

CF 

11 

E0 


PDF 

25 

50 

44 

46 

%FDF 

rar 

52 

<6 L 

72 

21 

Bar [ 

s f w 

49 

57 

53 

06/0S 

cws 

tar 

LF 

SB 

os 

00 


tgz 

LF 

9 D 

90 

70 


Word 

DO 

CF 

11 

EQ 


wmv 

30 

26 

B2 

75 


zip 

50 

4B 

03 

04 

Fg: 


Buscar por headers específicos em um código hexadecimal também 
pode ser útil para detectar e quebrar alguns métodos simples de 
esteganografia. 






V. Auditoria em Windows 


São diversas as situações em que ocorre a apreensão de um 
computador e é necessário analisá-lo não só no quesito dos arquivos 
armazenados, mas também dos processo que estão sendo executados na 
máquina. 

É nesse contexto que entram os programas que permitem procurar por 
dados úteis em um sistema operacional, como chaves de registro, senhas 
armazenadas, histórico de navegação, entre outros. 

Por se tratar de dados voláteis, é importante que os programas forenses 
sejam executados a partir de uma unidade externa, de forma a realizar o 
mínimo possível de modificações no sistema investigado. 

Um dos primeiros passos é fazer um levantamento completo do 
hardware do computador, incluindo placas de vídeo, rede, processadores e 
dispositivos periféricos. 


Felizmente, existem programas que realizam todo o serviço 
automaticamente, como o WinAudit (https://winaudit.codeplex.com) . Basta 
executá-lo e aguardar o processo de auditoria. 


H WinAudit Freeware v3.G.& 


Arquivo Editar Exibir Linguagem Ajuda 


D> 

Au ditar 

■ 

Cancelar 

O! 

ia I va i 

. O 

E-mail 

Ajuda 

Categorias \%\ 

; OverView do Sistem^ 

✓ y Auditar 1 


0 Software Instalado 


Sistema Operacional 
Periféricos 


Computer Audit for DESKTQP-GI9EFPC 

1) Qverview do Sistema 


0 

Segurança 


0 

Grupos e Usuários 


0 

Tarefas Agendadas 
Estatísticas de Uso 

Variáveis de Ambient 
Opções Regionais 


0 

Rede do Windows 


0 

Rede TCP/IP 


0 

Dispositivos de Harch 


0 

Capacidades de Exib 

► 

0 

Adaptadores de Exibi 


0 

Impressoras Instaladc 
Versão da BIOS 


0 

Gerenciamento do Si 


0 

Processadores 

Memória 


0 

Discos Físicos 


0 

Drives 

A 

0 

Portas de Comunica^ 
Programas na Iniciali; 


0 

Serviços 

Programas Rodando 



Item 

Value 

Computer Name 

DESKTGP-GI9EFPC 

Domain Name 

WORKGROUP 

Site Name 


Roles 

Workstation, Server 

Description 


Operating System 

Microsoft Windows 8 64-Bit 

Manufacturer 


Model 


Serial Number 


Asset Taq 


Number of Processors 

1 

Processor Description 

Intel CR) Core(TM) Í3-2100 CPU @ 3.10GHz 

Total Memory 

4096MB 

Total Ha rd Drive 

542.0GB 

Display 

E1641, 15.9" (35cm x 20cm) 

BIOS Version 

IBA GE Slot 00CS vl365 PXE 2.1 B 

User Account 

Natanael 

System Uptime 

0 Dias 0 Hours 46 Minutos 

Local Time 

2016-10-01 11:35:58 


0 ODBC Information 


OLE DB Pnoviders 


2) Software Instalado 


Uma vez terminado, basta navegar no menu para obter todo tipo de 
informação sobre o computador analisado. 


















































Também é importante salvar o resultado da auditoria como um arquivo 
HTML para futuras consultas. 

O registro do Windows é um banco de dados do sistema que armazena 
todas as configurações dos aplicativos que instalamos. Qualquer alteração 
feita nele será salva no registro, o que o toma uma importante fonte de 
informação para a computação forense. 

Ele pode ser facilmente acessado pelo comando regedit e é composto 
de 5 classes de valores. 


$ Editor do Registro 

Arquivo Editar Exibir Favoritos Ajuda 


v .□ Computador 

Nome 

H KEY_C LASSE S_RO OT 


H KEY_C URRE NT_Ü SER 


H KEY_L 0 C AL_M AC H 1 N E 


> HKEY_USERS 


HKEY_CURRENT_CONFIG 



São elas: 

■ HKEY_CLASSES_ROOT (HKCR): armazena informações 
que garantem que o programa correto seja iniciado quando 
clicado pelo Windows Explorer. Também possui detalhes sobre 
atalhos. 

■ HKEY_CURRENT_USER (HKCU): contém informações 
sobre o usuário logado atualmente no sistema. 

■ HKEY_LOCAL_MACHINE (HKLM): contém informações de 
hardware sobre máquina em questão, cuja maioria já pode ser 
obtida a partir da auditoria. 

■ HKEY_USERS (HKU): contém informações a respeito de 
todos os usuários presentes na máquina, como programas, 
configuações e definições visuais. 

■ HKEY_CURRENT_CONFIG (HCU): armazenas informações 
sobre a atual configuração do sistema. 

O registro do Windows é basicamente organizado nos seguintes 
valores: 









Por exemplo, podemos encontrar os programas configurados para se 
auto executar no momento da inicialização do Windows em localizações 
como: 

HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce 

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Ru 

n 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run 

Essas informações nos permitirão deduzir quais programas são 
iniciados automaticamente com o Windows. 


Vjucla 

Nome Tipo 

(Padrão) REG_SZ 

^ÀdobeAÀMUpd... REG_SZ 
^jFences REG_SZ 


Dados 

(valor não definido) 

"CAProgram Files [xfl6)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartü pUtility.exe" 
"CAProgram Files (h3ó)VS tardockVFences\ Fences.exe" /startup 


Em HCU\Software\Microsoft\Windows\CurrentV ersion 

\Explorer\UserAssist, podemos encontrar valores relativos aos processos 
inciados na máquina por determinado usuário. Para tanto, basta expandir as 
pastas e clicar nos valores Count. 














UserAssist 

i v- {9EÜ4CAB2-CC14-1 1 DF-BB8C-A2F1DED720S5} 

i. Q Count 

| v.. {A3 D 5 3 349- 6E 61 -4557-8F C7-0028ED C E E B F 6} 

! . Q Count 

| v.. { B2 67E 3 AD - A82 5 -4A09-S2B9-EE C22 AA3 B347} 

i.Q Count 

I V-.. {BCB48336-4DDD-48FF-BB0B-D3190DACB3E2} 

! . Q Count 

| v.. { C AA59 E 3 C -4792-41A5 -9909 - 6A6A8D32490E } 

i.Q Count 

I v.. { C E B F F5CD - ACE2-4F4F-9173-9926F41749EA} 

i. Q Count 

I v.. { F2 Al CB5A-E3CC -4A2 E - AF9 D - 505A7Ü09 D442 } 

i i.Q Count 

I v.. { F4E 57C4B -2036-45 F0-A9 AB -443 BCFE33D9F} 

i. Q Count 

I v •• { FA99 D F C7- 6AC2-45 3A-A5 E2 - 5 E2 AF F4507B D } 

i.Q Count 

Cada um deles deverá revelar um conjunto de valores. 


Nome 

Tipo 

^[Padrão] 

REG_SZ 

{0139Q44R- 6N SR-49S2-8690- .,, 

REG_BINARY 

{0139Q44R- 6N SR-49'52-8690- .,, 

REG_BINARY 

jtó {0139Q44R- 6N SR-49S2-8690- .,, 

REG_BINARY 

{0139Q44R- 6N SR-49'52-8690- .,, 

REG_BINARY 

^ {0139Q44R- 6N SR-4952-8690- .,, 

REG_BINARY 

{0139Q44R- 6N SR-49'52-8690- .,, 

REG_BINARY 

{0139044R - 6 N 5 R - 49' S2-8690- .,, 

REG_BINARY 


Dados 

[valor não definido) 

0Z 0000 00 00 0000 0000 00 0000 0000 0 
OZ 0000 00 00 000000 0000 0000 0000 0 
OZ 00 000000 000000 00 00 0000 0000 0 
0Z 0000 00 01 00 0000 00 00 0000 01 000 
0Z 00 00 00 01 00 0000 00 00 0000 01 00 0 
OZ 00 0000 0000 0000 00 00 0000 0000 0 
OZ 00 0000 00 00 00 00 0000 0000 00 000 


Escolhendo um valor arbitrário, receberemos a seguinte janela: 

Editar Valor Binário X 


Nome do valor: 


P :\Hf ref\Angnaniy\Qrfxgbc\Fa vcc vatGbby ,yax| 


Dados do valor: 


0000 

02 

00 

00 

00 

OE 

00 

00 

00 



0003 

00 

00 

00 

00 

OE 

00 

00 

00 



0010 

00 

00 

CO 

3D 

3C 

31 

46 

3E 

. ,À=. 

1F> 

0013 

00 

00 

30 

BF 

00 

00 

30 

BF 

. . . L . 

. . i 

0020 

00 

00 

30 

BF 

00 

00 

30 

BF 

. . . L . 

. . i 

0023 

00 

00 

30 

BF 

00 

00 

30 

BF 

. . . i . 

. . L 

0030 

00 

00 

30 

BF 

00 

00 

30 

BF 

. . . i . 

. . i 

0033 

01 

00 

00 

00 

30 

3E 

63 

E3 


>hã 

0040 

0043 

EB 

1B 

D2 

01 

00 

00 

00 

00 

e . Ò . . 



OK 


Cancelar 

















































O texto do campo Nome do valor está encriptado em ROT13 e ao ser 
traduzido pode revelar informações interessantes. 



Podemos encontrar detalhes sobre os dispostivios USB que foram 
contectados no computador na seção 

HKLM\SYSTEM\ControlSetOOx\Enum\USBSTOR. 

V.. USBSTOR 

D i s k 6 iVen_G en eri c BiP ro d_F I a s h_D i s kBiRev_8.07 
D i s kEiVen_G en eri c BiP ro d_m i c ro SD BiRev_0.00 
D i s kBdVen_G en eri c BiP ro d_M S/M S-P RO 6iRev_0.00 
D i s k 6 iVen_G en eri c BiP ro d_SD/M M C 8iRev_O,O0 
v ■■ DiskBiVen_KingstonBiProd_DataTraveler_G36iRev_PMAP 
> ■■ 001 CCÜEC30C8EBAl 55FE0050&0 


Clicar em uma das chaves nos retorna valores sobre o dispostivo. 


Nome 

Tipo 

Dados 

^j(Padrao) j 

REG.SZ 

[valor nào definido) 

4 io|CapabilitieE 

REG.DWORD 

0 x 00000010 [16] 

^CLassGUID 

REG_5Z 

{4d 3 6e9 67- e325- 11 c e- bf c 1 -08002b ei 03 18} 

abjCompatiblelDs 

REG_MULTI_SZ 

USBSTOR\Disk U5BSTDR\RAW GenDisk 

410 ConfigFlags 

REG_DW0RD 

0 x 00000000 [ 0 ) 

*!;]ContainerlD 

REG_SZ 

{f e7d 53 c2-79 a a - 5 aOd - b eZf - 5f2 b 3817b 1 f0} 

_ab DeviceDesc 

REG_SZ 

@ d i s k. i nf, %d i s k_d evd es c %; D i s k d ri ve 

Driver 

REG.SZ 

{4d 3 6e967- e325- 11 c e- bf c 1 -08002b ei 03 1 8}\0006 

^ FriendlyName 

REG_SZ 

Kingston DataTraveler G3 USB Device 

HardwarelD 

REG_MULTI_SZ 

USBSTOR\DiskKingstonDataTraveler_G3_PMAP USE 

■ííl Mfg 

REG_SZ 

©disk.inf,%genmanufacturer%;(Standard disk driv 

_ab Service 

REG_SZ 

disk 













Também podemos verificar as regras de Firewall e encontrar deetalhes 
sobrea aplicações executadas na máquina em 
HKLM\S YSTEM\ControlSetOO l\Services\SharedAccess\Parameters\ 
FirewallPolicy/FirewallRules . 


Nome Tipo 

«£) (Padrão) REG.SZ 

*!*] {01724322- F8F7-43 B C -9AAD... REG.SZ 
*!*] {04962834-EF86-4783-BFB2-E... REG.SZ 
***]{05220A64-073F-4BBD-9DD8... REG.SZ 
^] {11AA8C16-7B44-4A32-823A... REG.SZ 
*!*] {16AD77C6- B7F9-4F95-885A... REG.SZ 


Dados 

(valor nào definido) 

v2.24|Action=Allow|Active=TRUE|Dir=ln|Profile=Domain|Profile=Private|Name= @{Microsoft.MicrosoftEdge_2 
v2.24|Action=Allow|Active=TRUE|Dir=ln|Protocol=17|Profile=Public|App=C:\Program Files (x86)\Microsoft Of 
v2.24|Action=Allow|Active=TRUE|Dir=Out|Profile=Domain|Profile=Private|Profile=Public|Name= @{Microsoft 
v2.24|Action=Block|Active=TRUE|Dir=Out|App=%ProgramFiles% (x86)\TechSmith\Camtasia Studio 8\Camtas 
v2.24|Action=Allow|Active=TRUE|Dir=Out|Profile=Domain|Profile=Private|Profile=Public|Name=@{Microsoft 


Outra ferramenta interessante é o Regshot 

(https://sourceforge.net/proiects/regshot/) , que permite tirar uma 

/ 

“fotografia” do registro naquele momento, e depois comparar com outra. E 
uma função interessante para estudar as alterações que determinados 
procedimentos no Windows podem exercer no registro, e facilitar a busca 
por determinadas evidências. 


«É Reg s h ot 1 .9.0 x64 AN SI — 

Compare logs save as: 

O Plain TXT ® HTML document 

X 

lst shot 



2nd shot 

1 1 Scan dirl[;dir2jdir3^.,.jdir nn]: 

Compare 

C:\Windows ■■■ | dear | 

Output path: 

Quit 

C: '.JUsers \Natanael\AppDatc ,,, 

About 


Add comment into the log: 


English 


Existem alguns programas que facilitam nossa busca por informações 
de relevância conhecida e que requerem uma procura mais complexa se 
forem levantadas através do regedit, como os presentes no kit da Nirsoft. 
Cada programa pode ser baixado individualmente em 
http://www.nirsoft.net/password recovery tools.html e tem funções 
próprias. E possível ainda realizar o download de toda a ferramenta em 
http://launcher.nirsoft.net/downloads/index.html . 

Recomendo gastar algum tempo se familizarizando com todas as suas 
funções. Além disso, o projeto está em constante desenvolvimento e novas 
funções são atualizadas a cada semana. 







































0 NirLauncher - NirSoft Utilities 

File Edit View Options Launcher Packages Help 

Pa ssword Reooveiy Utilities NetWork Honitoring Tods Web Browser Tools Video, ''Audio Related Utilities Internet R 


Qutlook/Qffice Utilities 


Programmer Tools 


Oisk Utilities 


System Utilities 


Otfie 


Name 

Description 

Version 

Updated On T* 

Web Page URL 

A^Password Security Scanner 

Displays security information about passwords st... 

1.40 

26/09/2016 10:22:00 

http://www.nirs 

ImageCacheViewer 

Displays images stored in the cache of yourWeb ... 

1.12 

25/09/2016 06:51:30 

http://www.nirs 

^P asswo rd Fox 

View passwords stored in FirefoxWeb browser. 

1.57 

24/09/2016 12:33:02 

http://www.nirs 

* J B ro wsi n g H i sto ryVi ew 

View browsing history of popular Web browsers 

1.00 

22/09/2016 17:18:50 

http://www.nirs 

ji __, Sh a d o wC opyVi ew 

View shadow copies on your system 

1.03 

22/09/201608:20:02 

http://www.nirs 

[H HashMyFiles 

Calculate the MD5/SHA1 hashes of your files 

2.20 

21/09/2016 05:29:04 

http://www.nirs 

Va u ItP asswo rd Vi ew 

Decrypts passwords stored in Windows Vault 

1.00 

20/09/2016 04:52:24 

http://www.nirs 

® ChromePass 

Password recovery tool for Google Chrome Web ... 

1.41 

19/09/201602:52:02 

http://www.nirs 

WakeMeOnLan 

Ll. mi. t . 

Turn on one or more computers remotely by sen... 

1.78 

16/09/2016 15:13:32 

h r rru-L mrn r nr nn n 

http://www.nirs 


Com eles é possível, por exemplo, ter acesso à todas as senhas 
armazenadas no computador. 


WebBrowserPassView 
File Edit View Options Help 

I B Blto tf $ -Jt 

URL í Web Browser 


V httjp^/coca d a 3301. m i propia.com/ Vivaldr 


□ http;//www. a c d I a bs .com/ acco u nl/reg ist.. Vivald i 

□ https://ac c o u ntreco vefy.merc a d o I i vre.co„, Vivald i 

□ httpsí// ac c o u nts ■ google.com/Servi c el og«. Vivald i 
Q httpsr//a ccqu nts. google.com/si g n i n/c ha... Viva I d i 

□ https:/./lo g i n . p ro b oa rds.com/l o g i n/631 1... Vivald i 

Q http5í//my. d o g ec bain.info/ Vivai d i 

Q https Y/pa ss. c h emaKon,com/a cti vate^fa b,„ Vivald i 

□ https//twitt«r, c o m / Vivald i 

Q httpsí//www. cyb ra ry.it/wp- h g i n . p h p Vivald í 

H httpsí//www.f uvest.com.br/portal/fuvest... Vivald i 


□ X 


User Name Password 



Ou ao histórico de navegação de páginas da web e arquivos. 


u BrowsingHistory^ 


File Edit View Options Help 

I m y is! iü tf Já 

URL V Title VisitTime Visit 


Q http s://www.yo utub e. ... FULL: Donald Trump vs ... 28/09/2016 14:55:57 2 

nhttps://vuww.youtube.... FULL: Donald Trump vs ... 28/09/2016 14:55:56 2 

Q http s ://www.y o utu b e. ... Cri pto g raf i a - F u n ç o es ... 30/09/201623:18:07 1 

Q http s ://www.y o utu b e. ... N i rva n a - Sm el I s L i ke Te. .. 29/09/2016 1 9:24:09 2 

Q http s ://www.yo utu b e. ... N i rva n a - Sm ells Like Te... 29/09/2016 1 9:23: 1 9 2 

Q http s ://www.y o utu b e. ... YouTube NextUp 22/09/2016 20:23:26 1 

Q http s ://www.y o utu b e. ... 22/09/2016 20:23:29 1 


Ou ainda à um registro das vezes em que o computador foi ligado e 
desligado, além de várias outras informações improtantes. 




























T u rn ed Q nT i ni es Vi ew - 

DESKTQP-GI9EFPC 


□ 

X 

File Edit View Gptions 

Help 




n m s et a n 

Startup Time 

Shutdown Time 

Duration 

Shutdown Reason 

Shi 

íE1 11/09/201619:13:23 

11/09/2016 19:41:23 

00:22:55 

Operating system issue , 

rei 

9 11/09/201619:43:26 

9 11/09/2016 19:53:04 

9 17/09/201617:26:03 

9 20/09/201614:36:44 

11/09/2016 19:51:39 

00:08:13 

Operating system issue.. 

reii 

9 20/09/2016 16:04:39 

21/09/2016 22:26:28 

1 Days.+ 06:21:49 



9 22/09/2016 1 3:03:10 

22/09/201622:20:08 

09:16:58 


De 


9 23/09/2016 14:44:00 
9 25/09/2016 10:15:01 


Mais uma vez, o OSForensics também nos fornece ferramemtas para 
realizar seu trabalho. Elas estão presentes na seção System Artifacts & 
Passwords, em Recent Activity. 


Com poucos passos, o programa nos retoma uma lista completa de 
todas as atividades recenters realizadas no computador. 


CEk N Recent Activity 


(•) Live Acquisition of Current Machine 
O Scan Drive: CA 


All (4804) 

Most Recently Used ( 803 ) 

| 3 Windows • Recent Documents (572) 

j. í57 Windows ■ 'Run' Entries (2) 

\ tf MS Paint - Recent Files (G) 

: yj Adobe Reader - Recent Files (20) 
L® W ndows Explorer - Recent Items (203) 
Events(212) 
fg Installed (178) 
f§ Autorun (8) 

■0 USB (1 ) 

& WLAN (1 ) 

8 Shellbag (251 ) 

0 URLs (504) 

Bookmarks (1) 

@ Chat Logs (10) 

<£f Mounted Volumes (2) 

UserAssist Items (392) 
tej] JumpList Items (381 ) 

«2 Windows Search Items (2080) 
j tf Image files ( 48G ) 

O Audio/video files (21 ) 

Document files (226) 

! Compressed files (10) 

Q Web files (92) 
i 1§ Executable files (187) 

L[Ü Other files (1038) 


File Details File List Timeline 


Item Activity Type 

l£/ services.msc Windows Run MRU 

i^7 Services, msc WindowsRunMRU 

tf Capturar.PNG Paint MRU 

tf IMG_20170129_02111 0.jpg Paint MRU 

tf IMG_20170129_02111 0.jpg Paint MRU 

tf Capturar.PNG Paint MRU 

tf IMG_20170129_02191 G.jpg Paint MRU 

tf IMG_20170129_02191 G.jpg Paint MRU 

3 15492113_1132G45G9G830972_143G971994... Recent Documents 
3 upx393w.zip RecentDocuments 

i^Config RecentD ocuments 

3 updater Recent Documents 

3 spek-0.8.2 Recent Documents 

3Iinirsoft_package_1.19.104.zip RecentD ocuments 

31 acunetix.web.vulnerability.scanner.9.5.zip Recent Documents 

3 *64 Recent Documents 

3 Grnox RecentD ocuments 

3 Web Vulnerability Scanner 9.5 Recent Documents 

3 acunetix.web.vulnerability.scanner.9.5 Recent Documents 

3 (040873CB-404A-49FE-A254-A9BB9CEFAEA5} Recent Documents 
3 FindH im-Ver2.1 R ecent D ocuments 

3 f ind- ico RecentD ocuments 

3 CRUNCH.rar RecentD ocuments 

3 wordlist Recent Documents 

3 pdftext RecentD ocuments 

3 Word List Compiler R ecent D ocuments 

3 Tópicos Introdutórios em Computação Forens... Recent Documents 
3 network-wifi Recent Documents 

3 network-vpn RecentD ocuments 


Activity Filters: Off 
Timeline Filter: Off 


Path 


User 


Natanael 

Natanael 

C: MJ sersVN atanaelVD esktop N atanael 
C: \U sers\N atanaelVD esktop N atanael 
C: MJ sersVN atanaelVD esktop N atanael 
C: VU sersVN atanaelVD esktop N atanael 
C: VU sersVN atanaelVD esktop N atanael 
C: VU sersVN atanaelVD esktop N atanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 
Natanael 



Total Items: 4804 


CAU sersVN atanaelVNTUS... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
CAUsersVNatanaelVNTUS... 
CAU sersVN atanaelVNTUS... 
CAUsersVNatanaelVNTUS... 
HKEY_CURRENT_USERV... 
CAUsersVNatanaelVNTUS... 
CAUsersVNatanaelVNTUS... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY_CURRENT_USERV... 
HKEY CURRENT USERV... 


Este capítulo não estaria completo sem abordar a investigação dos 
processos do Windows. Esse tipo de análise pode ser útil em casos onde é 
possível ter acesso ao computador na cena do crime ainda funcionando, ou 
em uma situação doméstica para se erradicar um malwhare. 


Um primeiro reconhecimento pode ser feito pelo próprio Gerenciador 
de Tarefas do Windows, e consiste apenas em analisar os programas em 
execução na procura de algo suspeito. 























Processos em segundo plano (... 


1 1 Adobe Acrobat Update Service (... 

0% 

0,4 MB 

OMB/s 

0 Mbps 

|§3 Adobe CEFHelper [32 bit) 

0% 

2,3 MB 

0 MB/s 

0 Mbps 

Adobe Creative Cloud (32 bit) 

0% 

3,9 MB 

0 MB/s 

0 Mbps 

Adobe Genuine Software Integri... 

0% 

0,5 MB 

0 MB/s 

0 Mbps 

H Adobe IPC Broker (32 bit) 

0% 

1,3 MB 

0 MB/s 

0 Mbps 


É possível também obter uma lista de todos os arquivos e diretórios 
que estão associados com determinado processo utilizando o handle, 
ferramenta de linha de comando disponível para download no site da 
Microsoft (https://technet.microsoft.com/en-us/sysintemals/handle.aspx) . 



riit 

■L, . \Vd J.I lUUIMi \rUIIL5 \SCgUCUll . L L 1 

vivaldi.exe pid: 

7196 DESKTOP-GI9EFPC\Natanael 

54 

File 

C: Windows 

5C 

Section 

\Sessions\l\BaseNamedObjects\CrSharedHem 0866-F9d45501376be3608c 

60 

Section 

\Sessions\l\BaseNamedObjects\Cr5haredMem_ea5ccS9c75S6cb2e82662E 

70 

File 

C: \Users\Natanael\AppData\local\Vivaldi\Application\l .4.589.29 

9C 

File 

C: \Users\Natanael\AppData\Local\Vivaldi\Application\l .4.589.29 

E0 

Section 

\Sessions\l\BaseNamedObjects\CrSharedWem_0df4694e2a51c6dc717295 

E4 

Section 

\Sessions\l\BaseNamedObjects\CrSharedMeni_6clc2S9138al75304dl4ie 

1A8 

File 

C: \Users\Natanael\AppData\Local\Vivaldi\Application\l .4.589.29\ 


Há também outra ferramenta semelhante chamada listdlls 
(https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx) que 
permite listar todas as DLL’s envolvidas com determinado processo. 


taskhostw.exe pid: 4708 

Command line: taskhostw.exe {222A245B-E637-4AE9-A93F-A59CA119A75E} 


IBase Size 

0X0000000057660000 0x19000 

Í0000000091f80000 0Xlc2000 

(0000000091C60000 0Xad000 

|0X000000008ea40000 0Xldd000 
0X0000000091950000 0x9d000 


Path 

C: \Wimdows\sy stem32\taskhostw.exe 
C: \Windows\SYSTEM32\ntdll .dll 
C: \Windows\system32\KERNEL32 .DLL 
C: \Windows\system32\KERNELBASE .dll 
C: \Windows\system32\msvcrt .dll 









VI. Recuperação de Arquivos 

Justamente em função de sua ampla utilidade, a área de recuperação 
de arquivos é uma das mais populares da computação forense, uma vez que 
não é útil apenas em investigações, mas em qualquer situação na qual seja 
necessário recuperar arquivos perdidos - proposital ou acidentalmente. 

Por essa razão, existe uma ampla gama de programas que recuperam 
arquivos, desde os voltados para uso doméstico até os profissionais, que 
contam com funções desnecessárias para o usuário comum. 

A recuperação de arquivos só é possível porque, ao deletar um 
arquivo, o computador não apaga os valores dos bits relativos ao arquivo 
escolhido, mas apenas os marca como passíveis de serem sobrepostos. 

Dessa forma, um arquivo deletado - mesmo a partir de uma 
formatação de alto nível - ainda pode ser recuperado facilmente com a ajuda 
de programas simples. Nas próximas páginas, abordarei alguns deles. 

O primeiro deles é o Recuva, que pode ser baixado gratuitamente em 
https://www.piriform.com/recuva/download e conta com uma interface 
amigável e funcional. 


Pode-se determinar o tipo de arquivo, o diretório procurado e o nível 
de busca (rápido ou profundo). Os arquivos encontrados devem ser exibidos 
na tela em seguida, juntamente com sua dificuldade de recuperação. Não é 
recomendado recuperar um arquivo no mesmo disco em que o arquivo 
original foi deletado. 


For the best resulta restore the files to a different drive. 


üwitch to aclvanceü moüe 


□ 

Filename 

Path 

Last Modr 

A 

□ 

9 ) aa.log 

C:\ U sers\ N ata n a el\ D es kto p\ 

30/09/201 


□ 

■0 guaxinim.psd 

C:\Users\Natanael\Desktop\Fabrica de Noobs\Desin... 

30/04/201 


□ 

# -WRLOOOZ.tmp 

C:\LI sers\ N ata n a el\D es kto p\ F á b ri c a d e N 0 0 b s\ P roj et... 

WÜ1/201 


□ 

0 Logo.psd 

C:\Users\Natanael\Desktop\Fabrica de Noobs\Desin... 

24/11/201- 


□ 

^■432 Mystery.psd 

C:\Users\Natanael\Desktop\Fãbrica de Noobs\Desin... 

10/01/201 


□ 

0 Patrocinadores.psd 

C:\U s ers\ N ata n a el\D es kto p\ Fá b ri c a d e N 0 0 b s\ D es i n... 

21/04/201 


□ 

0 Desafio Hacker2016.psd 

. 

C:\Users\Natanael\Desktop\Fabrica de Noobs\Desin... 

10/01/201 



Outro programa de funcionalidade semelhante é o Pandora Recovery 
(http ://www .pandorarecovery. com) , que exibe todos os diretórios de um 
disco em forma de árvore e destaca os que já foram excluídos. 










Name 

Size Type 

Date Created 

Date Modified 

Adobe 

File Folcler 

09/11/16 21:3£: 34 

09/12/1615:15:06 

< / Áu d a city 

File Folder 

09/12/1616:51:22 

09/12/16 1 6:52:54 

O Common Files 

File Folder 

07/10/1 5 06:05:28 

09/23/16 19:23:3a 

iíf ImgBurn 

File Folder 

10/02/16 13:50:26 

10/02/16 13:50:26 

nstalIShield Installation Inform... 

File Folder 

09/20/1614:26:31 

09/20/1615:53:10 

17 Java 

File Folder 

09/1S/16 11:17:14 

09/13/16 11:17:14 

ijjf MagicISG 

File Folder 

09/30/1616:53:18 

09/30/16 16:53:13 

•' Microsoft Office 

File Folder 

09/11/1621:05:27 

09/20/16 04:56:40 

4? NVIDIA Corporation 

File Folder 

09/11/16 20:06:05 

09/23/16 19:23:33 

0 obs-studio 

File Folder 

09/12/16 15:46:30 

09/12/16 15:47:11 


Basta escolher algum e iniciar o processo de recuperação. 



Recover ImgBurn 

To this folder (didt Browse to choose existing folder or choose folder ffom list): 


C: VJsers VJatanael V^esktnp 


Space required fbr complete recovery: 2.9 MB 
Space available on selected disc drive: 13L7 GB 

Advanced 

W Recover file attributes (Archive, Hidden, System,.. .) 
W Recover alternative data streams. 


Help 


Recover Now 


Cancel 


Os programas mostrados acima podem ser extremamente funcionais 
para usuários domésticos, mas uma investigação forense requer ferramentas 
mais robustas capazes, por exemplo, procurar arquivos excluídos de uma 
imagem de disco. 

Uma das melhores ferramentas nessa categoria é o Autopsy, 
disponível gratuitamente em http://www. sleuthkit.org/autopsy/ . Além da 
busca por arquivos, ele também conta com ferramentas de procura por 
palavras chave 

Assim que iniciado, o programa requer a inserção de uma fonte de 
dados, que pode ser um disco físico, um diretório ou uma imagem. O 
procedimento padrão é que seja inserido uma imagem, a fim de não danificar 
a evidência original. 





















Assistente Enter Data Souroe Infomiatiion [Step 1 of 3) 


X 


Browse fcr an image file: 


Image File 

V 

| Image File 



C: \Users VJatanael pesktBp' 


Local Disk 
Logical Files 


Browse 


Please select the input timezone: (GMT- 3 :: 00 ) America/Sao_Paulo 


Ignore orphan files in FAT file Systems 


Em seguida, devemos escolher as opções de análise para serem 
executadas. 


Assistente Configure Ingest Modules [Step 2 of 3) 


Configure the ingest modules you would like to run on this data source. 


0 

Recent Activity 

0 

Hash Lookup 

0 

File Type Identification 

0 

Embedded File Extractor 

0 

Exif Parser 

0 

Keyword Search 

0 

Email Parser 

0 

Extension Mismatch Detector 

0 

EQ 1 Verifier 

0 

Android Analyzer 

0 

Interesting Files Identifier 

0 

PhotoRec Carver 


Select All 


Deselect All 


[s/| Process Unallocated Space 


Assim que o disco for analisado, será possível ter acesso a tudo que 
foi encontrado, incluindo arquivos existentes e deletados, palavras-chave e 
endereços de e-mail. 










































0- & Views 

0 - d| File Types 

I. | Images{33) 

i. || Videos (3) 

I. j| Audio (270) 

i. tj Archives (1) 

0- i^ Documents 
0- Executable 
0 - ^ Deleted Files 

i.File System (243) 

1 . * All (490) 

0- MB File Size 

! .MB 50- 200MB (0) 

MB 200MB - 1GB (0) 

1 .MB 1GB +(0) 

0- Results 

0- @ Extracted Content 

1 . Bri EXIF Metadata (1) 

0- c \ Keyword Hits 

0- ‘ x Single Literal Keyword Search (0) 

0- \ Single Regular Expression Search (0) 

0- x Email Addresses (5) 

[■■■■ C -K DF@rn.gan (1) 

Q@tDhd.Xq (1J 
I [■■■■ Rx@Qw.fZ (1) 

[■■■■ C -K StericDroid@gmail.com (1) 

'■■■■ Qs android@android.com (1) 

[■■■■ % Hashset Hits 
!••••• ^ E-Mail Messages 
L - ?(C Interesting Items 
|. Êfl Tags 

Ao navegar por um diretório, os arquivos que foram apagados serão 
destacados. É possível tentar recuperar cada um deles. 

Directory Listing 
Audio 

Table Thumbnail 

Name Location Modifíed Time 

J hangout_dingtone. m4a /img_J: /Notif ications/hangout_dingtone. m4a 

^ Alex Goot -Tiffany Alvord - Luke Conard - We /img_J:/Alex Goot - Tiffany Alvord - Luke Conard - We Are Young (Ly... 2015-12-17 1 

^ 5 Seconds Of Summer - She Looks So Perfect. /img_J:/Nova pasta/5 Seconds Of Summer - She Looks 5o Perfect.mp3 2015-12-07 1 

^ 5 Seconds Of Summer - She's Kinda Hot.mpS /img_J:/Nova pasta/5 Seconds Of Summer - She's Kinda Hot.mp3 2015-12-06 0 

^ A Day To Remember - If it means a lot to you /img_J:/Nova pasta/A Day To Remember - If it means a lot to you LY... 2015-04-30 1 





















El- C Data Sources 

| S-ã J: 

È " i sOrphanFiles (37) 

|.SUnalloc (1) 

i., Üi .android_secure (5) 

j. ^ .downloadTemp (0) 

[i]--- Qti Android (3) 

I . L DCIM (2) 

I . download (0) 

I. [Jl LOST.DIR (3) 

j. [ Notifications (3) 

Nova pasta (93) 

j. ^ ScreenCapture (0) 

I. ■jjj Sounds (0) 

I. i System Volume Information (3) 

è" 'fi galaxyy.zip (2) 

; . | SCarvedFiles (247) 

Em nível de arquivos, o programa também apresenta um editor 
hexadecimal com retorno de strings. 


Hex strings 

File Metadata 

Results 

IndexedText 

Media 


Page: 1 

of 220 

Page 

[ m 

Go to Page: 

Jump to Offset q 


0x00000000: 
0x00000010: 
0x00000020: 
0x00000030: 
0x00000040: 
0x00000050: 
OxOOOOOOGO: 
0x00000070: 
0x00000030 : 


43 44 33 04 
00 12 00 00 
00 €4 €1 73 
03 GD £9 £S 
00 54 53 53 
£1 74 £3 £2 
£F 3£ £D 70 
00 03 32 30 
33 33 3A 33 


00 00 00 00 
03 GD £1 £A 
£3 00 54 53 
£F 72 5F 7£ 
53 00 00 00 
Gt £5 5F £2 
34 31 00 54 
31 35 2D 30 
33 00 54 53 


01 13 54 53 
£F 72 5F G2 
53 53 00 00 
£5 72 73 £3 
1C 00 00 03 
72 £1 £E £4 
44 45 4S 00 
33 2D 33 30 
53 45 00 00 


53 53 00 00 

72 £1 GE £4 
00 11 00 00 
£F £S 00 30 
G3 £F GD 70 

73 00 £3 73 
00 00 15 00 
20 32 33 3A 
00 OD 00 00 


ID3 . _TXXX__ 

. ____ma j□E_fc e and 

. dash.TXXX. . 

.mina e_ve Esian.O 
. TXXX. . . . . . . c omp 
a tit 1 e_t e ands_is 

ü£mp41-TDEN. 

..2015-03-30 23: 
38:33.TSSE.. 






























VII. Análise de Criptografia 

A criptografia pode ser definida como o cojunto de técnicas utilizadas 
para se cifrar a escrita, tornando-a ininteligível para os que não possuem 
conhecimento de tais técnicas. 


Existem diversos métodos de criptografia, desde os mais rudimentares 
(como Cifra de César) até aqueles que precisariam de um computador 
quântico para serem quebrados (como algumas implementações de RS A). 
Recomendo se familizar com eles (e com os abordados no próximo capítulo) 
através da playlist sobre o assunto gravada no canal, disponível em 
https://www.voutube.com/plavlist?list=PLIevgZoV2cAi6wOi2J4HGfEqSil 

HK8sOM . 

Uma forma relativamente popular (e facilmente violável) de 
criptografia são os algoritmos de base numérica, como o binário, 
hexadecimal e octal. Eles funcionam substituindo os caracteres do texto por 
valores correspondentes na tabela ASCII. 


ASCII Table 


Dec 

Hex 

Oct Char 

Dec 

Hex 

Oct 

Char 

Dec 

Hex 

Oct 

Char 

Dec 

Hex 

Oct 

Char 

0 

0 

0 

32 

20 

40 

[space] 

64 

40 

100 

@ 

96 

60 

140 


1 

1 

1 

33 

21 

41 

1 

65 

41 

101 

A 

97 

61 

141 

a 

2 

2 

2 

34 

22 

42 

M 

66 

42 

102 

B 

98 

62 

142 

b 

3 

3 

3 

35 

23 

43 

# 

67 

43 

103 

C 

99 

63 

143 

c 

4 

4 

4 

36 

24 

44 

$ 

68 

44 

104 

D 

100 

64 

144 

d 

5 

5 

5 

37 

25 

45 

% 

69 

45 

105 

E 

101 

65 

145 

e 

6 

6 

6 

38 

26 

46 

& 

70 

46 

106 

F 

102 

66 

146 

f 

7 

7 

7 

39 

27 

47 

' 

71 

47 

107 

G 

103 

67 

147 

9 

8 

8 

10 

40 

28 

50 

( 

72 

48 

110 

H 

104 

68 

150 

h 

9 

9 

11 

41 

29 

51 

) 

73 

49 

111 

1 

105 

69 

151 

i 

10 

A 

12 

42 

2A 

52 

* 

74 

4A 

112 

J 

106 

6A 

152 

j 

11 

B 

13 

43 

2B 

53 

+ 

75 

4B 

113 

K 

107 

6B 

153 

k 

12 

C 

14 

44 

2C 

54 


76 

4C 

114 

L 

108 

6C 

154 

1 

13 

D 

15 

45 

2D 

55 

- 

77 

4D 

115 

M 

109 

6D 

155 

m 

14 

E 

16 

46 

2E 

56 


78 

4E 

116 

N 

110 

6E 

156 

n 

15 

F 

17 

47 

2F 

57 

/ 

79 

4F 

117 

O 

111 

6F 

157 

0 

16 

10 

20 

48 

30 

60 

0 

80 

50 

120 

P 

112 

70 

160 

P 

17 

11 

21 

49 

31 

61 

1 

81 

51 

121 

Q 

113 

71 

161 

q 

18 

12 

22 

50 

32 

62 

2 

82 

52 

122 

R 

114 

72 

162 

r 

19 

13 

23 

51 

33 

63 

3 

83 

53 

123 

S 

115 

73 

163 

s 

20 

14 

24 

52 

34 

64 

4 

84 

54 

124 

T 

116 

74 

164 

t 

21 

15 

25 

53 

35 

65 

5 

85 

55 

125 

U 

117 

75 

165 

u 

22 

16 

26 

54 

36 

66 

6 

86 

56 

126 

V 

118 

76 

166 

V 

23 

17 

27 

55 

37 

67 

7 

87 

57 

127 

w 

119 

77 

167 

w 

24 

18 

30 

56 

38 

70 

8 

88 

58 

130 

X 

120 

78 

170 

X 

25 

19 

31 

57 

39 

71 

9 

89 

59 

131 

Y 

121 

79 

171 

y 

26 

IA 

32 

58 

3A 

72 


90 

5A 

132 

z 

122 

7A 

172 

z 

27 

1B 

33 

59 

3B 

73 


91 

5B 

133 

[ 

123 

7B 

173 

{ 

28 

1C 

34 

60 

3C 

74 

< 

92 

5C 

134 

\ 

124 

7C 

174 

1 

29 

1D 

35 

61 

3D 

75 

= 

93 

5D 

135 

] 

125 

7D 

175 

} 

30 

1E 

36 

62 

3E 

76 

> 

94 

5E 

136 


126 

7E 

176 

~ 

31 

1F 

37 

63 

3F 

77 

? 

95 

5F 

137 


127 

7F 

177 



A análise de tais cifras depende apenas de identificar a cifra utilizada 
( ou de tentar todas, se você for absurdamente ruim ). Para isso, consulte a 
tabela abaixo e as decifre utilizando o Unit-Conversion.info em 
http://www.unit-conversion.info/texttools/ . 











Criptografia 

Texto cifrado 

Características 

Binário 

01101000 01100101 

0110110001101100 

01101111 

Presença apenas de 
caracteres 1 e0. 

Hexadecimal 

68 65 6c 6c 6f 

Presença das letras 
a,b ; c : de ; f e separação a cada 
2 caracteres. 

Octal 

150 145 154 154 157 

Gerálmente separado a cada 

3 caracteres, começando por 
1. 

Ascn 

104 101 108 108 111 

Mesmas do Octal porém 
sem valores maiores que 
127. 


Para demais criptografias, utilizaremos o CrypTool 1, disponível em 
https://www.crvptool.org/en/crvptooll . O programa permite realizar uma 
série de ataques contra diversos tipos de criptografia, e funciona melhor se 
forem adicionados arquivos em txt contendo textos em seu idioma nativo na 
pasta CrypToolVreference para servir de referência em algumas análises. 


Encrypt/Decrypt Digital Si gn atures/P Kl Indiv. Procedures Ánalysis Options 


Symmetric [classic) > 

SymiriÉtric [modem] > 

Asymmetric > 

Hybrid > 


Caesar/ Rot-13... 

Vigenere... 

Hill... 

Substitution / Atbash... 
Playfair... 

ÁDFGVX... 

Byte Áddition... 

XOR... 

Vernam / OTP... 
Homophone... 

Permutation /Transposition. 
Solitaire... 

Scytale/ Rail Fence... 


Uma mensagem em Cifra de César pode ser facilmente quebrada 
através do método de análise por frequência de caracteres. 











is {Automatic Caesar Analysis of <Caesar decryption of <Caesar decryption of <Caesar decryption of <startingexample-en>, key <A, KEY OFFSET:...>, key <...», key: <Key: <J» -Substitution- YENDOMQZKTGR' 


Correlation 



Offset 


Outra forma é testar as 26 chaves possíveis e procurar por uma 
sequência que faça sentido, o que pode ser feito em 
http://www.dcode.fr/caesar-cipher . 

Results 

Brute-Force : aLL shifts are tes-ted. text is Limited to the first 250 
characters. To keep punctuation and space. please irdicate the correct 
shift found Í+-XX). 

ti ti 

+ 10 FABRICADENOOBS 
+ 7 IDEULFDGHQRREV 
+ 2 3SNOEVPNQRABBOF 
+ 20 VQRHYSQTUDEERI 
+ 21 UPQGXRPSTCDDQH 
+ 11 EZAQHBZCDMNNAR 
+ 19 WRSIZTRUVEFFSJ 
+ 24 RMNDÜOMPQZAANE 
+ 13 XSTJAUSVWFGGTK 

Caso nenhuma das sequências corresponda a uma mensagem 
compreensível, é provável que ela esteja cifrada em Vigenère. Tal 
criptografia também pode ser quebrada de forma semelhante, mas possui 
menos chance de sucesso. Nesse ataque, o programa irá retomar possíveis 
chaves, e cabe ao investigador procurar quais fazem mais sentido. 

Note que caso apenas parte do texto descriptografado faça sentido, é 
provável que a chave real corresponda a parte da chave indicada pelo 
programa. 






































Vigenère [Analysis according to Schroedel) 

X 

Às soon asyou start the analysis, possible results are written into the list below. Detailed information 

can be obtained after the analysis is complete. 



Key: 

| Cleartext (assumed language: "English"]: 


ALLÜWANCE 

DARKNDFECKEYEDCJWMSVIELCLHIBTYHBGJG. 



ÀLLOWÀBLY 

DARKNDRVIKEYEDCVNSSVIELCXYOBTYHBGVX 



DÀRUEBERGESTUELPT 

ÀLLEFCOPÀGXQYVRHFNSPZOGYHDIJLPRMRDF 



KEYHGLE 

THERVSOWCMIVHVSSAJEVPIDERVBXUFXQSLE 

1 


BECQUEREL 

CH Al PZB CVJ LH CFYFU FR CR CN YH FBAAH FD CFEY 



CHARTRES 

BECHQMOOEDPSZIYEWJSPABDKWCMKLSRFEF 




CHANCINESSES 

B E CLH VFCO S LR Q S CJ Wl FCB AD KWCM 0 CB1T 0 E E 




BECLOUDING 

CHANVJPYTEOFQOOCVIFASOFRKPJTRDUTELU. v 


< 

> 








i 


Start analysis 

Show analysis results 



Cancel analysis 

Close 






Existem também os métodos de critpografia moderna como Base64, 
Megan35, Feron74, entre outros. Nesse caso, o melhor a se fazer é testar 
possibilidades utilizando algum serviço como o Crypo 
(http://crvpo.pw/encrvptors) , pois é provável que a cifra foi codificada nesse 
site. 


Fast Encryption (Encode / Encrypt or Decode / Decrypt) 

ATOM128 

BASE 64 

MEGAN 35 

TRIP05 

>O -0 I 

GILA7 

HAZZ15 

ESAB46 

T1G0 3FX 

> °o 

FERON74 

\ 1 

ZONG22 

Strong Encryptors (Encode / Encrypt or Decode / Decrypt) 

*3 

AER 256 

ARMON64 

OKTO3 

EZIP64 

\ I 

ZARA128 

ARABICA 2 RS 

CHINZO 72 C 

% 

KOREX3S 

JAPOOC2S 

\ 

HINDIA 4 x 


Já as sequências de hash podem ser quebradas em sites como o 
HashKiller (https ://hashkiller.co.uk/) ou o Crackstation 
(https://crackstation.net) , mas não podem ser decodificadas. Isso acontece 
porque, ao contrário dos métodos de criptografia estudados até agora, essas 
funções são unidirecionais. Isso significa que é possível criptografar 
utilizando um algoritmo, mas não é possível fazer o processo contrário. Esses 
recursos são utilizados, por exemplo, para realizar autenticações de login ou 
armazenar senhas em bancos de dados. 



























password 


Algoritmo (Base 64} 


cGFzcjdvcmQ— 


« 

password | Algoritmo (MD5) 


* 5f4dcc3b5aa765d61 ; 
^ í d8327deb8S2cf99 \ 


A única forma de se quebrar uma função de hash, como MD5 é a partir de 
um ataque de força bruta, onde uma lista com possíveis senhas e suas 
respectivas codificações é comparada com a hash até uma correspondência 
ser encontrada. Logo, uma hash gerada de uma senha forte é resistente a 
ataques de força bruta. 


Senha para autenticação 

5f4dcc3b5aa765d61d8327deb882c<99 


strongpassword 1233 


adminl23 


password 


pass!23 


Algoritmo (MD5) 


81 d6f5d3 5984a9ff20caffb298b0f22a 


0192023a7bbd73250516fü69df 1 8b500 


5f4dcc3b5aa765d61d8327deb882cf99 


32250170a0dca92d53ec9624f336ca24 


Caso não saibamos qual o algoritmo utilizado em uma hash, podemos 
encontrar pistas dele utilizando o hashID 

(https://github.com/davidaurelio/hashids-pvthon) , script feito em Python 
que retorna possíveis algoritmos através da quantidade de bits presentes na 
função. 


4bac27393bdd9777ce024532S6c5577cd02275510b2227f473d03fS33924f877 

Analyzing , 4bac273g3bdd9777ce02453256c5577cd02275510b2227f473d03f533924f877 , 

[ + ] Snefru-256 

[+] SHA-256 

[+] RIPEHD-25G 

[+] Haval-256 

[+] GOST R 34.11-94 

[+] GOST CryptoPro S-Box 

[+] SHA3-256 

[+] Skein-256 

[+] Skein-512(256) 






































VIII. Análise de Esteganografia 

A esteganografia é a técnica usada para esconder a própria dentro de 
um recipente, normalmente um arquivo que não levante suspeitas. 

Tem como objetivo impedir que tais dados ocultos sejam descobertos 
por terceiro, e funciona através da substituição dos bytes menos relevantes 
do arquivo recipente pelos bytes da mensagem real, sem grandes mudanças 
na primeira. 

Existem diversas ferramentas que possibilitam a esteganografia, desde 
as mais simples e identificávei até as mais complexas, feitas com programas 
próprios para o assunto. 

Por se tratar de um curso sobre computação forense, a abordagem 
estará voltada para a idenficação e quebra de métodos de esteganografia, e é 
interessante que você conheça o funcionamento dos mesmos para melhor 
compreensão dos procedimentos apresentados. 


Mensagem H Recipiente 

comum 



A análise de esteganografia pode ser facilitada se um ou mais dos 
seguintes fatores forem conhecidos: 

■ Método de esteganografia 

■ Recipiente 

■ Mensagem escondida 

As formas mais simples de esteganografia consistem em esconder 
mensagens importantes nos detalhes sutis de um arquivo, como por 
exemplos nos campos “artista” e “álbum” de uma música. 

Tais mensagens podem ser facilmente detectadas analisando-se a aba 
Detalhes no meno Propriedades do arquivo. Daí, eis a importância de se 
realizar uma análise atenta em cada detalhe de uma evidência suspeita. 







|f§ Propriedades de All American Rejects - Swing Swing [... X 


Geral Segurança Detalhes Vereoes Anteriores 


Propriedade 

Valor 

Descrição 

Título 

Legenda 

Classificação 

Comentários 

Mídia 

.Artistas participantes 
.Artista do Álbum 


mensagem 

hello, please call me 

1 .Álbum IfS 

Ano 


Número 





Outra técnica simples consiste em inserir uma mensagem em texto 
dentro de outro arquivo, que pode ser recuperada abrindo o recipiente pelo 
Bloco de Notas. 


ddddddddddddddddddddddd 


aaaaaaaaaaaaaaaaaaaaaaa 


aaaaaaaaaaaaaaaaaaaaaaa 


mensagem escondida 


Mensagens desse tipo podem ser facilmente encontradas efetuando-se 
uma busca por strings. No exemplo abaixo, usamos o OSForensics. 


LHNCJ.-J/ 

LAME3.97 

LAME3.97 


mensagem teste 
mensagem escondida 


Filter: 


None 


Uxü U 3 tíAJJb u 

GxGGSSADÊG 
0 JtO 0 3 8AD7 0 
OxOOSSADSO 


AAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAA . . . 

AAAAAAAAAAAAAAAA AAAAAAAAÊDÊ5-SE73 _____ .. _inena 

G1G7-G5GD2074G573 74G50D0Í 



V 


< 


0X0038AD7C - GXÜ038AD8E (18 Bytes) Selected 


Já a esteganografia feita utilizando um editor hexadecimal também 
pode ser facilmente recuperada através da busca de possíveis headers no 
código hexadecimal do arquivo. 

Outros tipos de esteganografia (principalmente as feitas a partir de 
programas próprios) são mais complexos de se detectar. Porém, tais 
programas quase sempre deixam rastros de sua existência na máquina alvo. 
Buscar por eles pode ser uma boa forma de identificar o método de 
esteganografia, facilitando o resto da investigação. 

Isso pode ser feito através de uma busca por palavras-chave 
relacionadas a esteganografia. No exemplo abaixo, buscamos por “stego” na 
ferramenta de busca do OSForensics. Recomendo orientar a busca conforme 
os nomes dessa lista https://en.wikipedia.org/wiki/Steganographv tools . 


























iSp File Name Search 


Search String 
Start Folder 


stego 


Drive-C: 


File List Thumbnails Timeline 




Esteganografla - Utilizando o QuickStego.pdf 

Location: Drive-C:\Users\Natanael\Desktop\Fábrica de Noobs\Biblioteca 
Size: 126.3 KB r Qeated: 02/09/2016, 18:31 r Modified: 02/09/2016, 18:31 
Accessed: 02/09/2016., 18:31 _ 

Quick Stego 

Location: Drive-C:\Arquivos de Programas [Hacking Tools) 

Size: N/A r Qeated: 03/10/2016, 17:48 r Modified: 03/10/2016, 17:48 
Accessed: 03/10/2016, 17:48 _ 

Quick Stego.lnk 

Lo ca tio n : D rive-Q\Use rs\Nata na e l\D e skto p 

Size: 1012 Bytes, Qeated: 03/10/2016, 17:48, Modified: 03/10/2016, 17:48 
Accessed: 03/10/2016., 17:48 


Uma vez identificado o programa, podemos pesquisar pelos seus 
formatos de saída e procurar arquivos que correspondem a esse formato. 

Também é interessante observar as seguintes ocorrências: 

■ Arquivos grandes demais para seu formato: uma imagem com 
10MB certamente possui algo dentro dela. 

■ Imagens em BMP: alguns programas de ocultação de dados em 
imagens costumam retorná-las nesse formato. 

■ Ruídos de áudio “estranhos”: é possível fazer esteganografla 
através de espectogramas, e os resultados retomam áudios um tanto 
incomuns. 

■ Pixelização incomum: imagens podem apresentar contornos 
diferentes quando são utilizadas como recipiente para 
esteganografla. 













IX. Quebra de Senhas 


Durante o processo de investigação forense frequentemente nos 
deparamos com arquivos, partições, discos ou máquinas inteiras protegidas 
por senha. Nessas situações, é comum utilizarmos programas para quebrar 
tais senhas. 


Existem três tipos de ataques: 

■ Retorno da própria senha: alguns programas conseguem ser 
vulneráveis o bastante para exibir a senha procurada (criptografada 
ou não) sem maiores problemas. Pouco comum. 

■ Retorno da hash da senha: a senha em si não é armazenada, mas 
sim a sua hash corresponde. Comum para hacking de contas de 
usuário do Windows, por exemplo. 

■ Ataque de força bruta: não temos acesso tanto à senha quanto à 
sua hash. É necessário tentar possíveis senhas até se obter sucesso. 


O Windows costuma armazenar a hash da senha de suas contas de 
usuário. Tais hashs podem ser obtidas com programas com o o OSForensics 
ou o Cain & Abel (http://www.oxid.it/cain.html) . 


Decoders | ^ Network Sniffer Cracker | Traceroute |BS1 CCDU Wireless | ^>]i Query 


■gf Cracker 


User Name 


| LM Password | < 5 | NT Password 


LM Hash 


gEl LM & NTLM Hashes 

X Administrador 

* empty * 


* empty* 

SEl NTLMv2 Hashes [0) 

X Convidado 

* empty* 

* 

* empty* 

^ MS-Cache Hashes [0 

X DefaultAccount 

* empty* 

* 

* empty* 

PWL files [0] 

X Nata na el 

* empty* 

*■ 

ftMft 

101 Cisco I0S-MD5 Hash 

X UpdatusUser 

* empty * 

* 


■M Cisco PIX-MD5 Hash 

^Administrador 

* empty* 

* 

* empty* 

■ AP0P-MD5 Hashes [\ 

Convidado 

* empty* 

* 

* empty* 

CRA.M-MD5 Hashes i 

DefaultAccount 

* empty * 

* 

* empty * 

4* 0SPF-MD5 Hashes (C 

X Natanael 

* empty* 

* 


-4» RIPv2-MD5 Hashes [( 

X UpdatusUser 

* empty* 

* 



AAD3B435B51 

AAD3B435B51 

AAD3B435B51 

AAD3B435B51 

AAD3B435B51 

AAD3B435B51 

AAD3B435B51 

AAD3B435B51 

AAD3B435B51 

AAD3B435B51 


| NT Hash 


31D6CFE0D16AE931B73C59D7E0C0S9C0 
31D6CF EOD 1 6AE93 1 B73 C 59D7E0C059C0 
3 1 D 6C F EOD 1 6AE93 1 B73 C 59D7E0CÜS9C0 



6D9 6E DSCOD 60903 B F045A06D79 D E 5 F6B 
31D6CF EOD 1 6AE9 3 1 B73 C 53 D7E0C0S9C0 
31D6CF EOD 1 6AE93 1 B73 C 59D7E0C089C0 
31D6CF EOD 1 6AE93 1 B73 C 59 D7E0C0S9C0 
30Ü&C&729451 11 42799D CA1 1 91E69A0F 
6D9 6E DSCÜD 60903 B FÜ45A06D79D E 5 F 6B 


Note que o programa também oferece a possibilidade de crackear 
diversos outros serviços: 


$ Cracker 

U£| LM & NTLM Hashes 
b* NTLM v2 Hashes [0) I 
I-* vlS-Cache Hashes [Q , 

|.^ PWL files (0) 

|-n Cisco I0S-MD5 Hash , 
\-m Cisco PIX-MD5 Hash ' 

|. '-Tp AP0P-MD5 Hashes [i ' 

|.^ CRAM-MD5 Hashes I 

I.^ 0SPF-MD5 Hashes. (í ■ 

|.RIPv2-MD5 Hashes fl ■ 

|. & VRRP-HMAC Hashes 


























Uma vez obtida a hash, basta quebrá-la para se retornar a senha 
original. Senhas comuns tem mais chance de serem quebradas com sucesso. 



Outra ferramenta semelhante é o ophcrack 
(https://sourceforge.net/proiects/ophcrack/?source=typ redirect) , que 

permite realizar a mesma função a partir da opção Local SAM. 


' V 

Load 

w 

* ■ 

Delete 

tá 

Save 

T 

Qj 

Tables 

Crack 

Q 

Help 

#) 

Exit 

Progress 

Statistics 

Prefierences 






User LM Hash NT Hash 

*disabled* Ádministr... 31 d6cfe0d1 6ae931 b73c59d7eQcO£9c0 

* d i sa b I ed* Con vi dado 31 d 6cf eOd 1 6a e93 1 b73 c 59 d7eOcü£9c0 

*disabled* □ 31 d6cfe0d16ae931 b73<=59d7eOcOS9cO 

Mataria el 1?^ 

□ 6 d 96edE!- c ü d 60190=! bf 04 5 a0 6 d 79 d e 5 f 6 b 


Caso disponhamos de uma máquina cujo acesso ao desktop não está 
disponível, podemos redefinir as senhas de usuário através de programas 
graváveis em imagens ISO, como o Windows Password Genius 
(http://www.isunshare.com/windows-password-genius.html) . 








































Também podemos obter as senhas de usuário de uma máquina 
recuperando os arquivos presentes nos seguintes diretórios através de um live 
CD ou um cabo USB. 


■ C:\Windows\system32\config\SAM 

■ C :\Windows\sy stem32\config\S Y STEM 



Com os arquivos em mãos, basta utilizar a opção Encrypted SAM do 
ophcrack na partição em que os mesmos se encontram. 

Progress Statistics Preferences 

User A Ha NT Hash 

Í*disabled* Administrador 31 dbcfeOdl6ae931 b73c59d7eíkGS9cü 

*disabied* Convidado 31 dficfeOdl6ae931 b7.3c59d7e0c089c0 

N ata n a el 209c 6174d a490c a eb422f 3f a 5a7a e634 

Existem também situações em que é necessário quebrar a senha de um 
arquivo, normalmente zipados ou documentos do Office. Esse tipo de ataque 
é feito através da força bruta, o qual consiste em tentar todas as senhas de 
uma lista na expectativa de que uma delas corresponda a senha procurada. 


Arquivo Wordlist Senha 

com senha descoberta 



Porém, bastam alguns conhecimentos de análise combinatória para se 
perceber que esse método se torna inviável para senhas mais complexas. 
Porém, para senhas simples (poucos caracteres ou palavras de dicionário) 
pode se tornar eficaz. 

O primeiro passo lançarmos um ataque é criarmos a lista de senhas, 
conhecida no vocabulário técnico por wordlist. A grosso modo, existem dois 
tipos de wordlists: as feitas por combinação pura, e as feitas com base em 
um dicionário. As primeiras são eficazes para senhas curtas, principalmente 













numéricas. Já as segundas podem servir em casos onde a senha em questão 
corresponde a uma palavra. 


Wordlists do primeiro tipo podem ser facilmente criadas utilizando o 
crunch (https://sourceforge.net/proiects/crunch-wordlist/) , ferramenta nativa 
de diversas distribuições Linux e que também conta com versão em 
Windows. 


A sintaxe fundamental do crunch é: 


crunch mínimo máximo set de caracteres -o arquivo de saída.txt 


Em que: 


■ Mínimo e máximo correspondem, respectivamente, a quantidade 
mínima e máxima de caracteres nas senhas. 

■ Set de caracteres correspondem aos caracteres que podem ser 
utilizados na criação das senhas. 

■ Arquivo de saída corresponde ao arquivo onde a wordlist será 
salva. 


Assim, se quisermos criar uma lista com todas as senhas numéricas (0 
a 9) de 3 a 6 caracteres, usamos: 


\CRÜNCH>crunch 3 6 0123456789 -o lista.txt 


O arquivo será salvo no diretório onde o programa está instalado. Para 
lidar com a leitura de listas grandes, recomendo o Em Editor 
(http://appnee.com/emeditor-pro-universal-registration-kevs-collection/) . 

J C:\Arquivos de Programas (Hacking Tools)\CRUNCH\li 
File Eclit Search View Compare Macros To 
















Já as worldlists de dicionário podem ser criadas através do 
WordListCompiler, ferramenta gratuita e eficaz disponível em http://word- 
list-compiler.software.informer.com/download/ . 

Seu funcionamento é simples: adicionamos um arquivo de texto 
qualquer e ele procura extrair o máximo possível de palavras desse texto. Ele 
trabalha apenas com arquivos em txt, então é interessante procurar por livros 
nesse formato ou convertê-los para txt antes de montar a wordlist. 

Boas opções de arquivo base são: 

■ Dicionário; 

■ Bíblia; 

■ Best-sellers; 

■ Listas de senhas mais comuns; 

■ Listas de palavrões; 

■ Relações com nomes de pessoas, cidades, times de futebol, 
números de telefone. 


PDF’s, por exemplo, podem ser facilmente convertidos para texto com 
o uso do PDF2Text Pilot (http://www.colorpilot.com/extract-pdf-text.html) . 
Basta adicioná-los e iniciar a conversão. 


_$[ PDF2Text Pilot 


□ X 


t 
X 

Folder to save converted files: 
C:\Users\Natanael\Documents 


Converted text files: 



Help 

PDF files to convert: 

File Name 

C :\Usera\Natanael\Desktop\dict .pdf 
C :\Usens\Natanaer\Desktop'-bibliasagrada .pdf 
jctaWndMd.il. Mais Que Cinco Minutos - Kefera Buchm; 



Br Choose... 


<£> Browse... 


□ ,411 toone 

Convert 


Please add files fortext extraction... 


Two Pilots S- 









































Todos os livros são convertidos em arquivos txt, prontos para serem 
usados na criação da wordlist. Basta adicioná-los no programa e iniciar a 
criação. 


Word List Co mpiler 

Wo 


X 


WordListCompiler X 

! 

20,6£3 Kb processed 

2..-S-79..721 total qualified words 

176,019 words aclcled 

2,294 millisÉConds spent 


0K 




Add... 


Save Word List 


Statistics 


Filter 


Reset 


176,019 words in the list (NOT SAVE D YET) 


Exit 


Uma vez criada, a wordlist já está pronta para ser usada. Lembre-se 
que um ataque tem mais chances de ser bem-sucedido se uma boa wordlist 
for utilizada. 

C:\Users\NatanaelVDesktop\WordList.tKt - EmEditor 
File Edit Search View Compare Macros Toc 


lJ t e? t h 

B Word List x 


a I ü ^ I *9 


abacamarlada 

abacamartado 

abacate-^ 

abacateiro!- 

abacatina-!- 

abacatirana-i- 

abacaxi-i- 

abacelado-!- 

abacelaiifiento 

abacelar-i- 


Voltando ao tema do capítulo, podemos realizar ataques de força bruta 
em arquivos com senha utilizando o Passware Kit Professional 
(https://www.passware.com/kit-standard-plus/) . Uma vez selecionado o 
alvo, o programa permite configurar e combinar uma série de ataques 
possíveis. Vale lembrar que tais ataques levam tempo, e um ataque bem 
configurado pode economizar 





























Drag attacks frorm this list: 




□■■Basic Âttacks 
j - Dictionary 
I j-Xieve 
;■ Brute-force 
i ■ Known Password/Part 
=■■■■■ P revi o u s P a sswo rd s 
-■■ Modifiers 

j ■ Change Casing 
i ■ Revers e P a sswo rd 
É1- Combine Âttacks 
! ■ Join Âttacks 
i-Âp penei Âttacks 


Vale lembrar que tais ataques levam tempo, e um ataque bem 
configurado pode economizar várias horas de alto consumo de RAM. 


Uma vez configurado, basta rodá-lo e aguardar seu resultado. 



C:\Users\Nata na el\D esktop\a rq u ivo com sen ha .docx 

Protection: MS Office 2013 - Üpen Password (AES 256-bit Enciyption) 

Complexity: Brute-force - Slow, Hardware acceleration possible 


D i ctio na iy Âtta c k: U nfi Itered -1 ist 
Password Length: 0 to 1 5 characters 
Passwords to check: 12.356.630 

Add new attack here. 


Dependendo da configuração escolhida, ataques podem levar horas ou 
dias para serem concluídos, e a única forma de otimizar tal processo é através 
da aquisição de mais memória RAM. Meu Intel Core i3 com 4GB de RAM 
apresentou uma taxa de aproximadamente 105 senhas por segundo. 


:ssional 


y Save Resulfe: ^ Print (jg) P 3U - e Í§) ^tOP 

C:\Users\Natanael\Desktop\arquivo com sen ha .docx 
Protection: MS Office 2013 - üpen Password (AES 256-bit Encryption) 
Complexity: Brute-force - Slow„ Fia rd ware acceleration possible 
Attack Progress 

Attack: Dictionary Attack: Llnfi Itered-list 
Password Length: 0 to 15 characters 



Checkfor Upd: 


Estimated completion time: 1 days. 12 h. 


File: arquivo com senha.docx 

Folder: C:\U sers\N ata n a el\D eskto p\ 

Protection: M S Off i c e 201 3 - 0 p en Pa sswo rd 

Complexity: Brute-force - SI o w 


























X. Auditoria no Android 


Os smartphones são cada vez mais populares em todo mundo, 
realizando não apenas as funções clássicas de um telefone, mas também 
armazenamento de fotos, envio de e-mails, SMS, agenda e aplicativos. Por 
essa razão, celulares também são estudados como evidências forenses. 

O trabalho de auditoria em um smartphone pode se tomar árduo caso 
o dispositivo não possua root ou a senha de desbloqueio seja desconhecida. 
Por essa razão, abordarei nessa apostila os procedimentos forenses para um 
dispositivo Android que possua: 


■ Acesso ao root 

■ Senha de desbloqueio conhecida 


Primeiramente, será necessário instalar os drivers correspondentes à 
marca do celular no computador. Isso pode ser feito com uma simples busca 
no Google. 

Em seguida, deveremos ativar as Opções de Desenvolvedor no 
aparelho em questão. Para tanto, vá em Configurações > Sobre o telefone e 
clique repetidas vezes no campo Número da versão. 



Versão do Android 

5.1 


Nível do patch de segurança do Android 

2016-03-01 


Estatísticas processo 

Estatísticas detalhadas sobre os processos em 
execução 


Depuração 


Versão da banda de base 

MSM8610BP_18033.4614.45.00R ROW_DSDS_CUST 


Depuração USB 

Modo de depuração quando o USB estiver 
conectado _ 


Versão do kernel 

3.4.42-g70ad15f 
hudsoncm@ilclbld86 #1 
Mon Feb 22 10:21 :1 9 CST 2016 


Revogar autorizações de depuração USB 


Versão do sistema 

23.201,3.condor_retbr_tv_ds.retbr.en.BR retbr 


Atalho para relatório de bugs 

Mostrar um botão para gerar relatórios de 
bugs no menu do botão liga/desliga 


Número da versão 

LPCS23.13-34.8-3 


Permitir locais fictícios 

Permitir locais fictícios 


<1 


o 


□ 


o 


□ 






Uma vez ativadas, vá em Programador e marque Depuração USB. Seu 
dispositivo estará pronto para ser auditado. 

Em seguida, usaremos o Andriller (http://andriller.com) para extrair as 
informações úteis. O programa é pago, mas por incrível que pareça basta usar 
a opção Migrate License para conseguir outra trial. 

Uma vez no programa, devemos ligar o dispositivo ao computador via 
cabo USB, definir um diretório, clicar em Check e em seguida clicar em Go!. 
Ele começará a realizar a auditoria do aparelho. Caso queira que seja feito o 
mesmo no cartão de memória, marque Extract Shared Storage. 

m Andriller 2.6.1.1 - Android Forensic Tools — □ X 

File Decoders Apps Utils» Lockscreens ÁDB Tools Help 



Global Output Location [Decoders / Extracti o n / Parsing) 

C :\U se rs\Naía nae WDe s ktop 


Output 


Extraction [ADB] Data Parse (Folder) Data Parse (.TAR) Data Parse [.AB] 
Check Serial IE>: 0434753655 


j Go! 

O Open REPORT.html in browser 
□ Use AB method (ignore root) 

I I Extract Shared Storage 


verão (Detected Tinte) * 

2016-10-09 00:57:35 UTC+00:00 (Time in Reports) 

2016-10-09 00:57:35 UTC (Coordinated Universal Time) 

g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g g 
GGGGGGGGGGGGGGGGGG Q 6 T 3 1 DeVÍC0 Inf0r[TiatÍ0n ****GOGGGGGOOOOQGGO 

ADB serial: 0434753655 
Shell permissions: root(su) 

Device model: MOTOROLA XT1025 
IJM.EI: Unknovin 
Android version: 5.1 
Build number: LPCS23.13-34.8-3 
Wi-fi MAC: 44:80:eb:bd:c2:aO 

Local time: 2016-10-08 22:03:04 Hora oficial do Brasil 
Android time: 2016-10-08 22:03:04 BRT 

oooogooooggggooooooog Synchronised Accounts ****o°goooggooggoogoo 
com . google : -fabricadenoobs2(Sgmail. com 
com,whatsapp: WhatsApp 
com.facebook.messenger: Messenger 

com.motorola.ServiceDialingNumbers: Service Dialing Numbers (SIM 
1) v 


Clear Log 


Save Log 


Finished 


Days ieft 14 


Assim que o processo for terminado, os resultados serão salvos para 
uma pasta previamente identificada. 































□ > MOTOROLA_XT1025_2016-10-0S_22.03.O4 



Nome 

Data de modmcaç... 

Tipo 

Tamanho 

hdo 

db 

03/10/2016 22:04 

Pasta de arquivos 


Trabalhe + 


wa_media 

03/10/2016 22:04 

Pasta de arquivos 


ids 

Q accounts 

03/10/201622:04 

Vivaldi HTML Doc... 

2 KB 

ntos y* 

i andriller 

03/10/201622:05 

Documento deTe... 

5 KB 

/ 

Q calljogs 

03/10/2016 22::04 

Vivaldi HTML Doc... 

2 KB 

; de Proí 

Q chrome_history 

03/10/201622:04 

Vivaldi HTML Doc... 

14 KB 

astboot 

Q contacts 

03/10/201622:04 

Vivaldi HTML Doc... 

49 KB 


O relatório completo da auditoria está presente em REPORT.html. Lá, 
podemos encontrar todas as informações sobre o dispositivo, como registro 
de chamadas, histórico de navegação, contas, logs de aplicativos (Whatsapp 
e Facebook) etc. 


#This report wasgenerated using Andriter# (Thisfiekl iseditafale in Preferences) 

# This report was ge.nerated using Anóríüer version 2.6.1.1 on 2016-10-08 22:03:04 Hora oficiai do Brasii # 

[And riI ler Report] MOTOROLA XT1025 | IMEhUnknown 


Type 

□ata 

ADE serial: 

0434753655 

Android ID: 

e3c3faf74c3e339c 

Shell permissions: 

root(su) 

Manufacturer: 

MOTOROLA 

Model: 

XT1025 

IMEI: 

Unknown 

Android version: 

5.1 

EuikJ na me: 

LPCS23.13-34.8-3 

Wiífl MAC: 

44:30:eb:bd:c2:a0 

Eluetoeth MAC: 

44:30 :eb:bd:c2:9f 

Eluetooth na me: 

XT1025 

Local time: 

2 0 1 6- 1 0- 03 22 : 0 3: 0 4 H ora oficia 1 d o Brasil 

Android time: 

2016-10-03 22:03:04 ERT 

Accounts: 

com .g oog ie: fa bricaden oobs2 @g m a il.com 

com.whatsapp: WhatsApp 

com .facebook. messenger: Messenger 

com.motoroIa.SemceDialingNumbers: Service Dia ling Numbers (SIM 11) 

Security (Gesture Hash): 

d a39a3ee5e3b4b0d32 55bfef9560 1 390 afd 8 0709 

Security {Lockscreen Patterm: 

None 

Secu rity ( Lockscreen Hash): 

5FCF9F39S913E652C415 6 F C E3 E5 0 987307A50 EF2 0 0 1 C 57C F F 4C EC2 BD42 F 1 3 □ 8 □ 9EA.D5440 

Security (Lockscreen Salt): 

5333933591532709300 

System: 

Svnchronised Accounts i4i 

System: 

Wi-Fi Passwords i9i 

System: 

Android Download History il) 

Web browser: 

Gooale Cliroire Historv i30i 

Communications data: 

Contacts 1 2:31 1 

Communications data: 

Ca II loas iSi 

Communications data: 

SMS M essa a es i'4'i 

Applications data: 

Facebook M essa a es f 1.311 : 

Applications data: 

WhaitsAoo Contacts 1 1 331 

Applications data: 

WhatsAoo Calls (31 

Applications data: 

WhatsApo M essa a es Í33.4&6'i 


# andritier.Güm # (Tftis fieiõ is ediiahie in Preferences} 


Podemos ainda descobrir a senha do dispositivo inserindo os valores 
presentes nos campos Lockscreen Hash e Lockscreen Salt na opção Crack 
















































PIN (para senhas numéricas) ou Crack Password (para senhas de qualquer 
tipo). A quebra é feita através de um ataque de força bruta. 






























XI. Busca Reversa 


Todos sabemos que a Internet é uma verdadeira teia de informações. 
Praticamente qualquer ação que realizamos online deixa rastros, e encontrar 
tais rastros pode ser fundamental em uma investigação ou busca forense. 

Em uma busca padrão, procuramos por alguma palavra-chave, que nos 
leva à determinado conteúdo. Por exemplo, se pesquisamos por “Vilão em 
Star Wars VIP’, somos imediatamente direcionados para resultados sobre 
Kylo Ren. 

ooqle Vilão em Star Wars VII O ®ü 


Todas Imagens Shopping Vídeos Notícias Mais Configurações 



Já em uma busca reversa, realizamos o processo contrário, 
normalmente em algum material gráfico como vídeo ou imagem. Assim, ao 
realizarmos o procedimento com a fotografia de Kylo Ren, somos 
direcionados para páginas que nos dão maiores informações sobre o 
personagem. 



kylo2... hu.640.jpg 


X 


star wars 7 kylo ren 


t»l E 


Todas Imagens Maps Shopping Mais Configurações 


Aproximadamente 20.700.000 resultados (1,00 segundos) 



Tamanho da imagem: 

630 * 081 

Encontrar esta imagem em outros tamanhos: 
Todos os tamanhos - Médio - Grande 


Melhor sugestão para esta imagem: star wars 7 kylo ren 













Tal ferramenta, apesar de parecer banal, tem inúmeras utilidades. Por 
exemplo, se temos uma situação na qual uma pessoa ameaça outra através 
de alguma rede social exibindo a foto de uma arma, podemos pesquisar a 
mesma imagem e verificar que, talvez, ela tenha sido apenas retirada da 
internet. 

Outra finalidade da busca reversa é procurar por atividades realizadas 
por determinada pessoa na Internet. Se descobrimos que determinado 
endereço de e-mail foi utilizado para hospedar um site, podemos realizar 
buscas reversas nesse endereço para talvez encontrar outros serviços que 
estejam vinculados a ele, tais como contas em redes sociais - as quais podem 
revelar o paradeiro do indivíduo que estamos procurando. 

Além disso, realizar uma busca reversa em materiais de mídia 
(músicas imagens ou vídeos) pode nos ajudar a descobrir a veracidade dos 
mesmos, além de detectar possíveis violações de direitos autorais e 
fotomontagens, desmascarando farsas da Internet. 

Antes de realizarmos buscas propriamente reversas, é importante 
enfatizarmos algumas opções adicionais de buscas simples que o próprio 
Google nos fornece, mas muitas vezes são ignoradas. 

Uma delas é a função de busca ao pé da letra. Ela nos permite que 
procuremos por algum termo em específico, descartando todos os outros que 
diferem dele. Por exemplo, uma busca comum por 
“fabricadenoobs2@gmail.com” nos retoma uma imensa gama de resultados, 
sendo que muitos deles sequer possuem o termo que procuramos. 

Todas Maps Notícias Vídeos Imagens Mais Configurações Ferramenta. 

Aproximadamente 58 resultados (0,50 segundos) 

Você quis dizer: fábrica de noobs 2@gmail.com 

NatanaelAntonioli (IMatanael Antonioli) ■ GitHub 

https://g rthub.com/Natanae l Antonio Ii ▼ 

São Carlos - São Paulo - Brasil; fabricadenoobs2@gmail.com ■ http://www.fabricadenoobs.com.br/ - 

OverView Repositories 1 St a rs 0 Followers 1 Following 0 ... 


Os segredos da DeepWeb - Diolinux Entrevista Fábrica de Noobs ... 
ki notu be . i nfo/cha n me 1/watch/vzXcm I N s2 hg ▼ 

... https://goo.gl/CLPvlC-Assine o nosso Feed: http://goo.gl/wB418F - Diolinux na Google Play Banca: 
htt p: //goo. gl/qCJ Q qir. Co nt at o : bl o g d i o I i n ux @g mai I .co m ... 


como usar a deep web para estudar para concursos públlicos ... 
https : //ki notu be . i nfo/cha n ne l/watch/aa'W6q4Z DF bs ▼ 

como usar a deep web para estudar para concursos públlicos http://bit.ly/2beXeqd — Clique aqui para 
ter acesso ao MATERIAL COMPLETO e aos MAPAS DE ... 



Já uma busca ao pé da letra irá retomar apenas os resultados que 
contenham exatamente o que procuramos. Na situação mostrada, este 
endereço de e-mail está relacionado apenas à uma página do Git-Hub. 


fabricadenoobs2@gmail.com 
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Todas Imagens Maps Shopping Mais Configurações Ferramentas 

Qualquer país ▼ Em qualquer idioma ▼ Em qualquer data ▼ Ao pé da letra ▼ Limpar 

Você quis dizer: fábrica de noobs 2@gmail.com 

NatanaelAntonioli (Natanael Antonioli) ■ GitHub 
https://github.com/NatanaelAntonk) li ▼ 

São Carlos - São Paulo - Brasil; fahricadenoobs2@gmail.com http://vwwv.fabrieadenoobs.com.br/ - 
OverView Repositories 1 St a rs 0 Followers 1 Following 0 ... 

Há também a ferramenta de Pesquisa Avançada do Google, que pode 
ser acessada em https://www.google.com.br/advanced search e permite que 
nossas buscas sejam refinadas por país, idioma, tipo de arquivo e data. 

Em seguida, limite seus 
resultados por.. 

idioma: qualquer idioma 

região: qualquer país 

última atualização: em qualquer data 

site ou domínio: 

termos que aparecem: qualquer lugar da página 

S afeS ea rc h : Mo stra r res u Itado s ma i s releva ntes 

tipo de arquivo: qual quer formato 

direitos de uso: não filtrados por licença 


Todos os resultados 
V Ao pé da letra 


A pesquisa por data pode ser extremamente útil caso queiramos saber, 
por exemplo, qual foi o primeiro uso de determinado termo na Internet, ou 
quando e onde se deu a primeira postagem de determinada notícia. 








Por exemplo, realizando uma busca reversa pelo termo “The Theater 
Game”, é possível encontrar a primeira menção sobre tal jogo. Isso nos 
permite deduzir que a história foi originalmente postada num portal de 
Creepy pastas. 

the theater game H | Q, 


Todas Vídeos Shopping Imagens Notícias Miais Configurações Ferramentas 


Qualquer país ▼ Em qualquer idioma ▼ 1 de jan de 2010 - 1 de out de 2010 ▼ Classificados po 

Dica: Pesquisar apenas resultados em português (Brasil). Especifique seu idioma de pesquisa em 
Preferências 

The Theater | Creepypasta Wiki | Fandom powered by Wikia 

creepypasta.wikia.com/wiki/The_Theater ▼ Traduzir esta página 

4 de set dle 2010 - Have you ever heard of an old game called “The Theater? Yeah ; didnt think so. 

Probably beca use many say it doesmt even exist. You see : The Theater was an ... 


Uma busca por data deve ser conduzida dentro de intervalos cada vez 
menores, a fim de encontrar exatamente onde está o resultado que 
procuramos. A tabela abaixo exemplifica o procedimento realizado no 
exemplo acima. 


Função da Busca 

Intervalo 

Resultado 

Determinar em qual "grande 
intervalo" o alvo se encontra 

2000 

2007 

X 

Verificar em qual período de 5 
anos aconteceu 

2007 -> 

2010 

✓ 


2007 -> 

2008 

X 

Verificar ano por ano. 

2008 -> 

2009 

X 


2009 -► 

2010 

✓ 


jan/10 —> 

fev/10 

X 

Aconteceu em 2010. Determinar 
o mês. 

fev/10 —> 

mar/10 

X 


... 


set/ 10 —> 

out/10 





















Entrando finalmente no quesito de buscas reversas, o Google Imagens 
(https://images.google.com) pode ser uma ferramenta extremamente útil 
para se procurar pela origem de uma imagem. 


Por exemplo, se quisermos saber qual a origem da foto abaixo (quem 
é o homem, e porque ele anda com o tamanduá no meio de uma grande 
cidade), basta realizar a pesquisa com a ferramenta do Google. 



10897.. .Ü256_n .j p g 


salvador dati oso hormiguero 


0 


Todas Imagens Maps Shopping Mais Configurações Ferramentas 


Aproximadamente 25.270.000.000 resultados (1,05 segundos) 


Tamanho da imagem: 

46&x 700 

Encontrar esta imagem em outros tamanhos: 
Todos os tamanhos - Médio - Grande 



Melhor sugestão para esta imagem: salvador dali oso hormiguero 


Guando Dali puso de moda entre la alta sociedad parisina tener un ... 
blogs. 20minutos.es/.. ../cuando-dali-puso-de-moda-entre-la-alta-so... ▼ Traduzir esta página 
19 de jun de 2014 - Esta costumbre la puso de moda Salvador Dali, famoso por sus ... de una estaciòn 
de metro de Paris paseando a un oso hormiguero dio la ... 


Imediatamente, o mecanismo de busca já dá a resposta procurada. 
Trata-se do famoso pintor Salvador Dali, posando em uma foto para a revista 
Paris Match, da edição de número 1055, de 26 de julho de 1969. 

Podemos ainda utilizar a busca reversa por imagem em conjunto com 
a filtragem por datas. Porém, é necessário ter cautela, pois o resultado pode 
corresponder ao momento em que o site foi indexado pelo mecanismo de 
buscas, e não ao momento da postagem de determinada imagem. Por 
exemplo, ao realizarmos a busca por essa outra curiosa imagem, constatamos 
um resultado de 2002. 


















10 397... 6 569_n.jpg 


pamneaux de signalisation routie Q 


i a 


Todas Imagens Maps Shopping Mais Configurações Ferramentas 

Pesquisa por imagem - 1 de jan de 2001 -1 de jan de 2003 ^ Limpar 

Tamanho da imagem: 

400 x260 

Nao foram encontrados outros tamanhos desta imagem. 



Páginas que incluem imagens correspondentes 


Yolj' 11 Never Look at a Banana the Same Again - Third Mlonk 



thirdmonk.net > Lifestyle T Traduzir esta página 

630 x 410-1 defev de 2002 -After reading this,you'll never look ata banana in the same 
way again. Bananas contain three natural sugars - sucrose : fructose and glucose 
combined with... 


O endereço em questão nos retoma leva a um site sobre os benefícios 
do consumo de banana (http://thirdmonk.net/nutrition/never-look-at- 
banana-same.html) , e a imagem foi utilizada para ilustrar que a banana pode 
agir como repelente de insetos. No entanto, ao analisarmos o código fonte da 
página em questão, notamos que se trata, na verdade, de uma postagem de 
2013. Sendo assim, devemos ignorar este resultado. 


20 

30 

31 

32 

33 

34 
33 


<meta property^article: tag" content = "Public Health M /> 

<meta prop erty= iai article: section" content = ir Li festyle 111 /> 

<meta property ="article :modif ied_time M content= 1, 2016-0&-17T00 :32:04-07 :00 ,r /> 

<meta property=”og: upd 0 ted_time M content= ir 2016-06-17T00: 32:04-07:00” /> 

<meta property= '"og : image" conteinit=”htt|p : //thirdmonk. net/post cont/201 3/11/Ba nanas - cover . j pg 11 /> 
<meta property =|,| og: image: víidth' 1 conten:t=" 3008" /> 


íublished time" content="2013-12-31711:55:42-07:00" / 


<meta 


Essa verificação é fundamental, e deve ser realizada antes de qualquer 
constatação, especialmente quando chegamos a um resultado duvidoso. 
Procure manualmente pela data no código fonte, ou busque termos como 
“date” e “time”. 


Além disso, a mesma técnica pode ser utilizada para descobrir a 
identidade de alguém partindo de uma fotografia (tal como fizemos na 
investigação sobre o 432 Mystery). Basta pesquisar a imagem em qualquer 
mecanismo e busca e analisar os resultados apontados. Você provavelmente 
será apontado para as redes sociais da pessoa procurada, que fornecerão 
outras informações. 














£ 15492... 5057_n.jpg 

hairstyle 


fl ■ | Q. 

Todas Imagens 

Maps Shopping 

Mais 

Configurações Ferramentas 


Aproximadamente 7 resultados (0,90 segundos) 


H 


Tamanho da imagem: 

720 x 960 

Não foram encontrados outros tamanhos desta imagem. 


Natanael Monteiro (@_natanael666) | Twitter 



https://twitter.com/_natanae [666? la ng=pt ▼ 

512 * 512-The latest Tweets from Natanael Monteiro (@_natanael&E 
WHAT THE FUCK DO I DO NOW. São Carlos - SP. 


Caso queiramos procurar por manipulações de imagem, o TinEye 
(https://www.tineye.com) pode ser uma excelente ferramenta. Para 
demonstração, iremos encontrar a fonte utilizada para a seguinte montagem. 



Utilizado o mecanismo, podemos elencar os resultados conforme o 
objetivo de nossa busca. São elas: 


Sort by: 

Qldest T 

Best match 

m 

Most changed 

Biggest innage 

1 Newest 

Oldest * 

















• Best match: permite encontrar a imagem que mais se assemelha 
àquela que possuímos. 

• Most chaanged: permite encontrar a imagem que menos se 
assemelha àquela que possuímos. Pode ser útil para encontrar a 
origem de uma montagem, ou montagens feitas a partir de uma 
original. 

• Biggest Image: útil para designers que procuram fotos em alta 
resolução. Encontra a maior imagem que possua os mesmos 
traços da imagem buscada. 

• Newest e Oldest: retomam a imagem mais nova e mais velha, 
respectivamente. 

Assim, através desta análise forense, conseguimos encontrar a imagem 
original, que foi utilizada para produzir a montagem. A ferramenta ainda nos 
permite comparar as duas. 


Your image 


Switch 


Image mi jr i ma ê e 


Switch 


Image match 



Através desta comparação, podemos entender mais sobre como a 
montagem foi feita e encontrar outros elementos estranhos à fotografia 
original, como a cadeira que deveria estar sendo utilizada por Vladmir Putin 
- note que ela foi inserida de uma fonte externa. 

No entanto, esse processo costuma requerer alguns passos a mais. A 
simples busca pela seção da fotografia, na maioria dos casos, simplesmente 
retoma resultados correspondentes à mesma montagem que procurarmos e, 
portanto, são inúteis. 

Para evitar que isso ocorra, é necessário separar totalmente a parte 
procurada (no caso, a cadeira) do resto da imagem, o que pode ser facilmente 
feito em um programa de edição de imagem como o Photoshop. 









Após os cortes - os quais não precisam ser dignos de um anúncio 
publicitário - podemos realizar a busca reversa através dos mecanismos 
vistos anteriormente. Na situação específica, o próprio Google nos trouxe as 
respostas que procurávamos. 


Páginas que incluem imagens correspondentes 


Antiques. Furniture and America on Pinterest 



https://www.pinterest.corn/pin/31S700111100869994/ 

236 * 317 - Invest in a look youll always love with always-in-style bedroom furniture at 
irresistible prices from Joss & Main. Then, craft the bedroom oásis of your dreams ... 


1000+ images about Eastlake furniture on Pinterest | Furniture ... 



http s://br. pinterest.com/ishadodi/eastlake-fLirniture/ t 

324 * 436-Victorian pieces | See more about Furniture, Victorian bookcases and First girl. 


Ou seja, a imagem da cadeira utilizada foi retirada de alguma página 
sobre móveis antigos. Lembre-se que, dependendo da situação, poderia ser 
necessário realizar mais uma busca, a fim de filtrar os resultados por data. 

Apesar de ser um procedimento mais complexo, também podemos 
realizar a busca reversa por vídeos. Ela se baseia no pressuposto de que um 
vídeo é, na verdade, uma sucessão de imagens. 

Dessa forma, separamos, arbitrariamente, algumas imagens deste 
vídeo e realizamos a busca por elas. Felizmente, existem algumas 
ferramentas que automatizam a maior parte do processo, como as 
ferramentas da Intel Techiniques. 



Em https://inteltechniques.com/osint/reverse.video.html , podemos 
inserir o link de um vídeo das mais diversas redes sociais: Youtube, Vimeo, 
Facebook, Vine, Instagram ou LiveLeak. Há ainda a possibilidade de 
pesquisarmos por um frame específico do vídeo, que deve ser upado em 
alguma ferramenta do gênero. 

Custom Reverse Video Search 

This tool allows you to conduct a reverse image search from the stored thmnbnail images associated with videos. It will often locate ade 
target video. The results for each search incltide Google. Tineye ; Yandex. Bing : and Baidu. I:f tising Chrorne, you will need to allow popu 
found in the address of each video page, as indicated in red below. 


YouTube Video 1D 


Enviar 


Reverse YouTube Video Search - ex: http://www.youtube.com/watch?v=VRFCMPd3bra8 


Por exemplo, vamos realizar uma pesquisa rápida por uma das cenas 
mostradas neste vídeo de terror psicológico 
(https://www.voutube.com/watch?v=BhqRZJQb3qU&t=ls) . Mais 

especificamente, procuraremos pela cena mostrada aos 0:55, que mostraria 
um cadáver tendo seus membros cortados - seria uma cena de tortura real? 
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Vídeo Retirado da Deep Web #1 


Para tanto, copiamos o frame em questão (realizando um print da tela) 
e o enviamos para um serviço de upload de imagens. Em seguida, colamos o 
endereço de imagem obtida no último campo da ferramenta. Imediatamente, 
o site irá abrir algumas guias (ou se for um vídeo inteiro, uma quantidade 
considerável delas) de buscadores diferentes. 
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Logo temos nossa resposta. A cena foi retirada, na verdade, de um 
filme chamado Men Behind The Sun, como mostram vários resultados. 
Lembre-se também de utilizar a busca por data, caso necessário. 


Yandex 



Uploaded image 


Search 


> 


WEB IMAGES VIDEO MAP5 MARKET MORE 



Thraughout fhe movie, there - Behind the Sun lmages : Pictures, Photos, Icons 
and Wallpapers: Ravepad - the place to rave about a 
http : //rave pad . co m/p age/be h i nd-the-s u n/i m age s/view/266593 ... 

Men Behind The 











